Linux-Magazin Problematische Mitbringsel (Vorschau)

09/12
Anzeige:
Die Welt der STRATO Server
Ohne Einrichtungsgebühr! » strato-pro.de siehe Beilage
STR0812_DE_TKS_Server1_120x17.indd 1
16.07.2012 13:21:42 Uhr
Content managen
für Pragmatiker
Im Test: Fünf CMS-Suiten, die auf schnelle
Anwender-Erfolge programmiert sind S. 46
Kern-Technik
Wie Boot Tracer und Bootchart
helfen, den Systemstart
zu beschleuigen S. 76
3-D-Welten
Mit HTML 5 und der Bibliothek
Three.js vorstoßen in
eine neue Dimension S. 88
Problematische
Mitbringsel
Bring your own Device
fordert IT-Abteilungen heraus
■ Warum bei BYOD die Gefahren nah und
perfekte Lösungen fern sind S. 24
■ Einlasskontrollen für Fremdgeräte S. 28
■ Tablet & Co. als Thin Client S. 32
■ Mobile Device Management S. 36
■ Günstige Schutztools für Android S. 40
■ Zentyal macht Ubuntu zum
Small Business Server S. 56
■ Java-Know-how: Threads S. 82
Stadt, Land, Fluss: Charly Kühnast lokalisiert Website-Besucher anhand ihrer IP-Adresse S. 55
www.linux-magazin.de
Deutschland Österreich Schweiz Benelux Spanien Italien
4 5,95 4 6,70 sfr 11,90 4 7,00 4 7,95 4 7,95
4 192587 305954 09

Bastian Foerg
STRATO Hosting-Kunde
www.gastronomieberatung-rheinhessen.de
BasicWeb XL
nur
€/Mon.*
für 6 Monate
danach 4,99 €/Mon.
Preisaktion bis 31.08.2012
STRATO bietet Ihnen alles was Sie brauchen,
um Ihre Idee erfolgreich ins Internet zu bringen.
3 Domains, 1 GB Speicher und 2 Datenbanken
1-Klick-Installation vom Blog-System WordPress
2 GB Speicher pro E-Mail Postfach inklusive
Zahlreiche Komfortfeatures, z. B. Foto- und Videoalbum
Hosting-Pakete | Online-Speicher | Webshops | V-Server
* Einmalige Einrichtungsgebühr 9,90 €. Mindestvertragslaufzeit 12 Monate.
Preise inkl. MwSt.
Servicetelefon: 030 - 300 146 0

Google hat’s verbockt
Login 09/2012
Editorial
Android, ein Linux, erobert Unternehmensdesktops. Google jubelt natürlich
und freut sich über den Siegeszug. Anwender wollen ihre Smartphones und
Tablets nicht mehr missen und sie sogar im Unternehmen verwenden. Chris
di Bona, Googles Open-Source-Chef, schwärmt im Interview: „Android ist
der wahr gewordene Traum vom Linux-Desktop!“ Ein Traum? Immer mehr
Malware, Trojaner und ungepatchte Exploits tauchen auf. Ein Alptraum,
Herr di Bona!
Wie konnte das passieren? Die Sache verhält sich ganz einfach: Google
hat mit Android ein kommerziell überaus erfolgreiches System platziert.
Software- und Hardwarehersteller springen zuhauf auf den Zug mit dem
kleinen grünen Männchen auf, chinesische, taiwanische und koreanische
Markus Feilner,
Produzenten werfen beinahe im Monatsrhythmus neue und immer smartere
Geräte auf den Markt. Die werden gleichzeitig immer leistungsfähiger,
stellvertretender Chefredakteur
benutzerfreundlicher und nicht zuletzt – der zahlende Verbraucher freut
sich – billiger und billiger. Hersteller, die dabei nicht mitmachen, verlieren, siehe Nokia und RIM. Quick ist
das Maß der Dinge auf dem Markt für mobile Geräte – und dirty auch.
Denn das OS hat Schwächen, die Linux-Kenner eigentlich nicht für möglich gehalten hätten. Der Stack
aus Android-Kernel, Dalvik-Engine und den Apps oben drauf verzichtet auf Sicherheitskonzepte, die sich
im Unix-Umfeld seit Jahrzehnten bewährt haben. „Alle mobilen Plattformen machen sicherheitstechnisch
unglaublich große Probleme, auch Android. Wir stehen heute wieder da, wo wir bei Windows vor
20 Jahren waren.“ Das erklärt ein enttäuschter Admin eines deutschen Dax-Konzerns im vertraulichen
Gespräch – seine Firma hat auch Produkte im Angebot, die Smartphones sicher anzubinden versprechen.
Resignierend fügt er hinzu: „Unternehmen, die „Bring Your Own Device“ erlauben, können auch gleich die
Firewall abschalten!“
Die Liste der Versäumnisse von Google lässt sich beliebig verlängern: Updates gibt es bei vielen Herstellern
gar nicht oder nur sehr verzögert. Exploits lassen monatelang Scheunentore offen. Angesichts der Strategie
vieler Produzenten bezeichnen besorgte Anwender und Admins Android nicht selten als Wegwerf- oder
One-time-Linux. Neulich an der Hotline: „Ihr Gerät ist defekt? Kein Problem, es gibt schon den Nachfolger
mit Android 4. Der ist sogar 50 Euro billiger – und die Sicherheitslöcher sind da auch gefixt.“
Eine sichere Kapselung des Userspace enthält Android ebenso wenig wie die Möglichkeit, sichere Einstellungen
zu erzwingen. Was bei Experten Kopfschütteln hervorruft, lässt bei Softwareherstellern und
Consultants die Kasse klingeln. Sie versprechen mit Sandboxing und Virtualisierung auf dem Endgerät für
Sicherheit zu sorgen. Doch so lange der Anwender sein eigenes Gerät mitbringt, auf dem er beliebige Apps
installieren will und darf, ist das Tablet oder Smartphone eine potenziell unsichere Plattform.
Aber die „Consumerization der Business-IT“, die Open-Xchange-Chef Rafael Laguna einst als Trend ausrief,
ist de facto nicht mehr zu stoppen. Anwender wollen ihre kleinen Statussymbole auch im Büroalltag verwenden,
die wenigsten Unternehmen werden das verbieten können – und Admins wie Sicherheitstechniker
müssen bis auf Weiteres zähneknirschend die unsicheren Android-Geräte in ihren Netzwerken zulassen.
Letzten Endes gilt es, das Unvermeidbare zu akzeptieren und die Risiken möglichst klein zu halten – mit
Software, Infrastruktur, aber auch durch Information der Anwender. Willkommen in der smarten Android-
Business-IT.
www.linux-magazin.de
3

Inhalt
www.linux-magazin.de 09/2012 09/2012
4
Mit dem Siegeszug privater Tablets und Smartphones fällt der ei ser ne Vorhang zwischen
Firmen- und Privat-Computern. Das Linux-Magazin stellt sich an die Seite der vom „Bring
your own Device“-Virus gebeutelten IT-Abteilungen und stellt diesmal Strate gien und Tools
vor, die das Unvermeidliche erträglich machen.
Aktuell
Titelthema: Bring your own Device
6 N ew s
n Tablet und Medienkugel von Google
n Web OS als Community Edition
n Freeze für Wheezy
n Capgemini: Zarafa Groupware online
n Kolab 3.0 mit Serverside Akonadi
24 BYOD-Grundlagen
Titel
Probleme bei „Bring your own Device“,
und was IT-Abteilungen dagegensetzen.
32 Mobilgeräte als Thin Clients
Warum das Server-based Computing mit
mobilen Geräten die bessere Wahl ist.
Voll im Trend: Die Storage-Server von Pure
Storage setzen komplett auf SSD-Speicher.
12 Zahlen & Trends
n Wikimedia verleiht Zedler-Preise
n Verkauf gebrauchter Software ist legal
n Jolla: Ex-Nokias entwickeln mobiles OS
n Mozilla sondert Thunderbird aus
n LPI: Startschuss für Linux Essentials
n Linuxtag Dornbirn: Call for Papers
Das Smartphone dient als Einfallstor für Viren,
Malware und Angreifer. Als UMTS-Hotspot hebelt
es alle Sicherheitsvorkehrungen aus.
28 Zugang absichern
Klingt genial: Endgeräten, die bestimmten
Anfor de rungen nicht genügen, den
Zutritt zur Firmen-IT zu sperren.
Teamviewer bringt Desktops auf Android-Geräte.
Aber die Touch-Bedienung hakt noch.
36 Mobile Device Management
Das Übel an der Wurzel packen: Zentrale
Management-Suiten für Mobilgeräte.
40 Schutz für Android
Mobile-Security-Produkte für Androiden.
18 Zacks Kernel-News
n Wie der Maintainer der Zukunft arbeitet
n Lizenz-Versäumnisse im Kernel
20 Akademy 2012
KDE wird 15 Jahre alt, das Entwicklertreffen
Akademy zehn. Im Juni traf sich
die Community im estnischen Tallinn.
Userkritik, mobile Hardware und Patente: Das
KDE-Projekt hat mit Hindernissen zu kämpfen.
Einlass nach Maßgabe: Spezielle Enterprise-
Server testen am Eingang auf Konformität.
DELUG-DVD
Virenschutz für Linux-Geräte? Android macht's
nötig, zahlreiche Hersteller möglich.
Details zu DVD-
TOOL
Inhalten auf S. 43
Netzwerkangriffe Super Grub 2
TOOL
TOOL
... von innen — komplettes E-Book
zu einer unterschätzen Gefahr
I-doit Pro
Exklusiv: 1-Jahres-Lizenz der
Inventarisierungssoftware aus
Deutschland
TOOL
TOOL
Bootet direkt von DVD: Partitionsund
Bootloader-Reparatur-Linux
mit und für den neuen Grub 2
Konferenzvideos
Profis sprechen über Nagios, Cacti,
Ntop, ITSM und Nedi-Netzanalyse

09/2012 09/2012
Inhalt
46 Früh erfolgreich
Ohne Vorwissen und Zeit eine schicke
Website bauen? Ein Contentmanagement-System
muss her – aber welches?
Fünf CMS im Linux-Magazin-Test.
56 Ubuntu bedienbar
Nicht nur wegen der fünf Jahre Support
bietet sich Ubuntu Server für den Einsatz
im Unternehmen an: Zentyal macht Canonicals
Linux zum Small Business Server.
82 Eingefädelt
Seit der ersten Stunde sind Threads
ein fester Bestandteil von Java. Wer
sie richtig einfädelt, nutzt CPU-Kerne
besser als in anderen Sprachen.
www.linux-magazin.de
5
Software
Sysadmin
Know-how
43
Einführung
Auf der DELUG-DVD: Grub 2, Zentyal, I-doit
und ein E-Book über Angriffe von innen.
55 Einführung
Aus dem Alltag eines Sysadmin: Charly
bastelt sich eine Geo-IP-Lookup-Weiche.
76 Kern-Technik 64
Titel
Der Boot Tracer und Bootchart helfen
den Systemstart zu optimieren.
44 Tooltipps
Pass 12, Daytime, Lmvirt, Barefootd,
Iptstate und Monitorix.
56 Zentyal
Titel
Ein All-in-one-Server mit Ubuntu, der
auch noch leicht zu administrieren ist.
Monitorix protokolliert die Systemauslastung.
46 Bitparade
Titel
Contentmanagement-Systeme im
Wettstreit: Wordpress, Concrete 5,
Redaxo, Pivot X und CMS made simple.
Zentyal ist Firewall, Router, Active-Directory-
Ersatz, Mail-, VoIP- und Groupware-Server.
64 Inventarisierung mit I-doit
Ein Genie beherrscht das Chaos – allen
anderen hilft Software wie I-doit.
Bootchart listet detailliert auf, welche Tasks
zu welchen Zeitpunkten aktiv sind.
Programmieren
82 Threads in Java
Titel
Fäden, Locking und Synchronisierung.
88 Three.js
Titel
3-D-Szenen mit Javascript erzeugen.
I-doit bringt Ordnung ins Inventar: Links die
Objektgruppen, rechts ein leeres Listenfeld.
Das CMS Redaxo bringt keinen Wysiwyg-Editor,
sondern setzt vorgefertigte Textblöcke.
Service
3 Editorial
100 IT-Profimarkt
101 Stellenanzeigen
104 Veranstaltungen
104 Inserenten
105 Impressum
106 Vorschau
Forum
68 Leserbriefe
Auf den Punkt gebracht.
70 Recht
Software-Downloads eignen sich zum
Weiterverkauf, meint der Europäische
Gerichtshof.
73 Bücher
C++11 sowie KVM Best
Practice.
Guter Ausblick: HTML 5 und Web GL bringen
3-D-Unterstützung in den Browser.
96 Perl-Snapshot
Permeister Schili hebt ab, wenn er mit
Heroku Webapplikationen startet.
Das Kommandozeilen-Tool »heroku« des
gleichnamigen „Toolbelt“ loggt den User ein.

Aktuell
www.linux-magazin.de News 09/2012
6
News
Google rollt Tablet und Medienkugel aus
Auf seiner Hauskonferenz ​I/O
hat Google seine wachsende
Nexus-Reihe um das Tablet
Nexus 7 ergänzt. Neu in die
Google-Palette zieht auch
der kugelförmiger Streamingserver
Nexus Q ein, der mit
Android 4.0 läuft.
Neben einem mit 1280 mal
800 Pixeln auflösenden HD-
Display zu 7 Zoll erhalten
Käufer des Google-Tablets einen
Tegra-3-Quadcore-Prozessor
mit 1,3 GHz Taktfrequenz.
An Bord sind 1 GByte RAM,
8 GByte interner Speicher,
Frontkamera, WLAN, Bluetooth
sowie NFC. Es soll bis
zu neun Stunden HD-Video
wiedergeben. Das Gerät ist
etwa 1,5 Zentimeter dünn, 20
Zentimeter hoch und 12 Zentimeter
breit bei 340 Gramm
Gewicht. Als Betriebssystem
läuft die neueste Android-
Version 4.1 Jelly Bean.
Nexus 7 (Höhe: 20 Zentimeter) heißt das neue Tablet von Google. Der Streamingserver
Nexus Q (11,6 Zentimeter Durchmesser) startet als Apple-TV-Konkurrent.
Der kugelförmige Nexus Q
misst laut Spezifikation 11,6
Zentimeter im Durchmesser,
wiegt 923 Gramm und verfügt
über 1 GByte RAM sowie 16
GByte internen Flashspeicher.
Die Prozessorplattform ist eine
OMAP 4460 mit doppeltem
ARM A9, für die Grafik
sorgt der Chipsatz SGX540.
Mediadaten streamt das Gerät
über einen Micro-HDMI-
Ausgang, Audio über einen
optischen ​S/PDIF​-Anschluss
sowie einen Bananenstecker.
Das Netzwerk ist via Megabit-
Ethernet erreichbar, an Funkschnittstellen
sind ebenfalls
WLAN, Bluetooth und NFC
vorhanden.
Das von Asus gefertigte Tablet
kommt vorerst nur in den
USA, Kanada, Australien und
England auf den Markt. Ab
Juli soll es in der 8-GByte-Version
für 200 US-Dollar und in
der 16-GByte-Version für 250
Dollar zu haben sein. Für den
restlichen europäischen Markt
gilt September 2012 als unbestätigter
Starttermin. Den
Preis hingegen nennt Google
bereits: Er soll sich in der
16-GByte-Version um 250 Euro
bewegen.
Wie das Tablet, ist auch die
Streaming-Kugel direkt über
die Hardwaresektion von
Google Play [https://​play.​google.​
​com/​store/​devices] zu beziehen.
Derzeit lässt sie sich nicht
in allen Ländern aufrufen.
Markteinführungspreis des
stylischen Geräts ist 300 US-
Dollar, ein Euro-Preis ist noch
nicht bekannt.
n
Grub in 2.00 erschienen
Web Services Security berichtigt Fehler
Mit einem neuen Theme für
das Menü, Treiberupdates
und vielen Verbesserungen
hat sich der Grand Unified
Bootloader aus der Betaphase
verabschiedet und ist in Version
2.00 verfügbar.
Entwickler Vladimir Serbinenko
schreibt in der Ankündigung,
dass es nicht nur das
offizielle Theme für das Gfx-
Menü namens Starfield Premiere
zu feiern gäbe, sondern
auch Ports für Intanium- und
SGI-Mips-Systeme. Letzterer
allerdings sei als experimentell
gekennzeichnet, weil es
Firmwareprobleme gäbe. Zu
den Neuerungen zählen diverse
Treiberupdates und
Neuaufnahmen, etwa für
EHCI. In Serbinenkos Mail
sind die weiteren Neuerungen
aufgelistet [http://​lists.​gnu.​org/​
​archive/​html/​grub‐devel/​2012‐06/​
​msg00093.​html].
n
Die Standardisierungsorganisation
Oasis hat die Web
Services Security in Version
1.1.1 samt Dokumentation
und zugehörigen Dateien online
gestellt. Die neue Version
des Websecurity-Standards
korrigiert lediglich Fehler der
vorigen. Das Dokument hat
zudem diverse redaktionelle
Änderungen erfahren. Neue
Features sind hingegen nicht
aufgenommen worden.
Oasis bezeichnet ihre Web
Services Security als einen der
am meisten in Verbindung mit
dem Netzwerkprotokoll Soap
eingesetzten Standards, weshalb
ständige Pflege unabdingbar
sei.
Die entsprechenden Dateien
für Web Services Security finden
sich bei [https://​www.​oasis
‐open.​org/​news/​announcements/​
​oasis‐​web‐​services‐​security‐version
‐1‐1‐1‐oasis‐​standard‐published]. n

Trend zu Storage-Servern mit SSD
Nexenta Systems kündigte
während des Open Storage
Summit 2012 gemeinsam mit
der Firma Erastor eine 2-HE-
Appliance mit 24 Solid State
Drives an. Sie ist erhältlich
ab 4,5 TByte und skalierbar
bis 17,6 TByte. Tests hätten
ergeben, dass die Erastor 25S
mehr als 250 000 Schreiboperationen
pro Sekunde
absolviert bei 2,8 GByte pro
Sekunde Durchsatz und nur 2
Millisekunden Latenz.
Auf dem Gerät läuft Nexenta
Stor, eine Software, die mit
NFS, CIFS, Webdav und FTP
sowohl als NAS fungiert als
auch mit I-SCSI und FC als
SAN. Lokal arbeitet mit ZFS
ein 128-Bit-Filesystem. Es
bietet Data Deduplication,
native Kompression, Snapshot
Search, heterogene Blockund
File-Replikation. Von der
Open-Storage-Software Nexenta
Stor gibt es unter [http://​
​www.​nexentastor.​org] eine kostenlose
Community-Version.
Das dabei verwendete Betriebssystem
Illumos ist ein
Community-Fork des Ex-Sun-
Unix Open Solaris.
Das kalifornische Startup-
Unternehmen Pure Storage
brachte ein ähnliches Gerät
mit dem Namen Flash Array
heraus. Es lässt sich mit 5,5
bis 22 TByte SSD-Speicher
ausrüsten und führt bei einer
Bandbreite von 2,8 GByte pro
Sekunde rund 100 000 Schreiboperationen
pro Sekunde aus.
Die durchschnittliche Latenz
soll unter einer Millisekunde
liegen. Infiniband-geclusterte
Controller erlauben Active-
Active-HA-Eigenschaften.
Anders als das Nexenta/Erastor-Gerät
besteht das Flash
Array aus mehreren kombinierbaren
19-Zoll-Komponenten,
mindestens aus einem
Controller (mit Fibre Channel,
SAS Storage Interconnect,
QDR Infiniband) und Storage
Shelf. Die Firmware „Purity
Operating Environment“, an
der auch Logfs-Erfinder Jörn
Engel mitgearbeitet hat, ist Linux-basiert
und besitzt ähnliche
Features wie Nexenta Stor,
so auch Data Deduplication.
Dazu kommen eigenes Performance-Management
und eine
Flash-Life-Extension. n
Die neuen, dedizierten Storage-Server von Pure Storage (Abbildung) und
Nexenta/​Erastor setzen komplett auf SSD-Speicher.
© PureStorgae
RHEL 6.3 bringt
Updates
Die neue Minor-Release 6.3
der Enterprise-Ausgabe von
Red Hats Linux (RHEL) nimmt
zusätzlich zu Open JDK 6
auch Open JDK 7 an Bord. Bei
den Virtualisierungsfähigkeiten
haben die Entwickler die
Tools Virt-P2V für verbesserte
Migration von physikalischen
Rechnern in virtuelle Umgebungen
integriert. Das soll die
Aufnahme von mit RHEL oder
Windows bestückten Rechnern
als virtuellen Gästen vereinfachen.
Das Virtualisierungssystem
ist nun kompatibel
mit dem Payment Card
Industry Data Security Standard
(PCI-DSS).
In Sachen Sicherheit setzt
RHEL 6.3 auf Two Factor
Authentication (TFA), was
gegenüber dem einfachen
Passwortschutz ein deutliches
Plus bringen soll. Weitere
Neuerungen gibt es bei
Filesystemen und beim um
X.509-Zertifikate erweiterten
Subskriptionsmanagement.n
News 09/2012
Aktuell
www.linux-magazin.de
7
Web OS als Community Edition
Twitter macht sich transparent
Das von Palm via Aufkauf zu
Hewlett-Packard gewanderte
und dann für den Eigengebrauch
aufgegebene mobile
Betriebssystem Web OS macht
einen weiteren Schritt in Richtung
Open Source. Die neue
Community Edition, erklärt
ein Blogbeitrag der Web-OS-
Entwickler, enthalte die Komponenten,
die für den Touch-
Betrieb nötig sind.
Gepflegt wird der Code von
„Web OS Internals“, einem
kleinen Entwicklerteam. HP
beteiligt sich weiterhin finanziell
am Projekt. Die für
die Community Edition zuständigen
Entwickler aus der
Web-OS-Internals-Truppe sind
sechs an der Zahl. Sie stehen
unter der Leitung von Tom
King (alias Ka6sox) und nennen
sich zur besseren Abgrenzung
„Web OS Ports“.
Für die Community Edition
gibt es eine eigene Website
mit Repositories und Informationen,
die als Wiki aufgezogen
ist [http://​webos‐ports.​org].
Diese Edition steht unter der
Apache-Lizenz. Bis zum
Herbst soll es eine Web-OS-
1.0-Version geben. n
Inspiriert von den Kollegen
bei Google hat sich auch der
Dienst Twitter entschieden, einen
so genannten Transparency
Report zu veröffentlichen.
Er offenbart auch Anfragen
von Behörden zur Löschung
von Beiträgen.
Twitter hat sich symbolisch
den Independence Day, also
den 4. Juli, als Veröffentlichungsdatum
ausgewählt,
heißt es in dem korrespondierenden
Blogbeitrag. Der kurz
zuvor veröffentlichte Report
enthält Einblicke in Regierungsanfragen
nach Nutzerinformationen,
Aufforderungen
zum Zurückhalten bestimmten
Contents und Ansprüche
von Urhebern gegen Veröffentlichungen.
Im Transparency
Report [https://​support.​twitter.​
​com/​articles/​20170002] steht
auch die Reaktion von Twitter
auf die Anfragen, also ob das
Unternehmen Folge geleistet
hat oder nicht.
Die veröffentlichten Daten reichen
zurück bis zum Jahresanfang
2012. Aus Deutschland
liegen die Anfragen nach Nutzerinformationen
demnach
bei unter zehn.
n

Aktuell
www.linux-magazin.de News 09/2012
8
Silverstripe CMS wird 3.0
Das Contentmanagement-System
Silverstripe ist mitsamt
zugehörigem Anwendungs-
Framework in Version 3 freigegeben.
Den Nutzer erwartet
eine neu gestaltete Oberfläche,
die sich unter anderem
durch Erleichterungen beim
Einbau von Fotos und Videos
via Drag & Drop auszeichnen
soll. Neu ist auch eine Listenansicht.
Das Silverstripe-Team
der gleichnamigen Firma hat
zudem CMS und Framework
getrennt, um die Entwicklung
von Anwendungen zu
ermöglichen, die kein CMS
brauchen.
Changelog, Demoseite und
Download zu Silverstripe
3.0 gibt es auf der Webseite
[http://​www.​silverstripe.​org].
Die Firma Silverstripe mit
Hauptsitz in Neuseeland bietet
kostenpflichtige Services
rund um das BSD-lizenzierte
Open-Source-CMS, auch Webanalysen
sind im Angebot. n
Freeze für Wheezy
Planmäßig hat das Debian-
Projekt den Freeze seiner Distribution
für die kommende
Version 7.0 mit dem Codenamen
Wheezy eingeleitet. Damit
können die Betreuer von
Softwarepaketen Änderungen
nur noch unter ganz bestimmten
Bedingungen in die
kommende Debian-Release
einbringen.
Zu den erlaubten Ergänzungen
gehören kritische Bugs
und Änderungen, die zum
Erreichen der offiziellen Release-Ziele
zwingend erforderlich
sind, beispielsweise
durchgehende IPv6-Unterstützung
und Multi-Arch. Verbesserte
Übersetzungen und
aktualisierte Dokumentation
sind zum Wohle des Nutzers
ebenfalls gestattet.
Detaillierte Informationen
gibt es in der Freeze-Policy
für Wheezy auf Debians Webseiten
[http://​release.​debian.​org/​
​wheezy/​freeze_policy.​html]. n
Fennec mit neuer Sehhilfe
Startansicht des PHP-CMS Silverstripe in Version 3.
Der Smartphone-Browser für
Android erhält von den Mozilla-Entwicklern
einige neue
Funktionen. Webseiten lassen
sich jetzt in einer speziellen
Lese-Ansicht darstellen, ohne
den Browser verlassen zu
müssen. Das nützt Menschen
mit Sehproblemen, denen sich
Texte nun auch in anderen
Schriftgrößen präsentieren.
Auch helfen verschiedene
Hintergründe, die Schrift zum
Beispiel mit höherem Kontrast
darzustellen.
Die Version befindet sich im
Nightly-Status. Daher sollte
ein Test nicht allzu kritisch
ausfallen. Wer auf Nummer
sicher gehen will, wartet auf
die offizielle Präsentation des
Browsers in Google Play. n
Eclipse Juno
Debian bekommt Mirror-Redirector
Die traditionelle Eclipse-
Release von Ende Juni ging
gut über die Bühne: Mit dem
Codenamen Juno verbinden
die Eclipse-Entwickler eine
Reihe Veröffentlichungen von
Eclipse und mehreren angedockten
Projekten.
Eclipse selbst steht nun in
Version 4.2 zur Verfügung,
die Ausgabe 3.x wandert in
den Wartungsmodus. Für
Kompatibilität zwischen 3.x
und 4.2 sorge eine Kompatibilitätsschicht,
versichern die
Entwickler. Weitere Informationen
zu den Bestandteilen
und Neuerungen liefert die
Projektankündigung auf der
Eclipse-Website [http://​www.​
​eclipse.​org], wo Juno in diversen
Paketen mit unterschiedlichem
Umfang zum Download
bereitsteht.
Bereits im neunten Jahr in Folge
kann die Community den
Juni als Gemeinschaftstermin
für die Veröffentlichung
halten. Die Juno-Release repräsentiert
die Arbeit von 72
Projekten und umfasst 55 Millionen
Zeilen Code. n
Der Debian-Entwickler Raphael
Geissert hat den Mirror-
Redirector der Öffentlichkeit
vorgestellt. Er ist unter [http://​
​http.​debian.​net] erreichbar. Die
Adresse leitet HTTP-Anfragen
von Webseiten-Besuchern automatisch
an einen geografisch
nahe gelegenen Spiegelserver
der Debian-Repositories
weiter. Anwender tragen den
Redirector beispielsweise mit
»deb http://http.debian.net/
debian stable main« in die
Konfigurationsdatei »/​etc/​
apt/​sources.list« ihres Software-Verwaltungstools
Apt
ein. Den Rest erledigt die neue
Weiterleitung.
Eine erste Version hatte
Geissert bereits im Januar
auf Debians Entwicklerliste
gezeigt. Dank der Rückmeldungen
der ersten Benutzer
sind nun noch einige Verbesserungen
eingeflossen. Neben
der neuen Seite existiert die
Demo-Seite [http://​http.​debian.​
​net/​demo.​html], die eine Weiterleitung
transparent macht
und sich auch zum Debuggen
verwenden lässt. n

Neuheiten von O’Reilly
Lösungen vorprogrammiert
Oracle Linux 6.3 verbessert Btrfs
Der Hard- und Software-Anbieter
Oracle hat seine auf
den Red-Hat-Quellen beruhende
Linux-Distribution ihrem
Vorbild folgend auf Version
6.3 hochgeschaltet. Das
Kernstück der Distribution
ist der Unbreakable Enterprise
Kernel, der nun auf dem
Linux-Kernel 3.0.16 mit aktualisierten
Kernel- und Storage-
Treibern beruht.
Daneben gibt es neue Features
beim Dateisystem Btrfs. Dazu
gehören Online-Defragmentierung,
LZO-Komprimierung
sowie Scrubbing, welches
das Dateisystem auf Integrität
prüft und gegebenenfalls
repariert. Die aktualisierte
Der Microsoft-Partner Capgemini
stellt sich gegen Redmond
auf und bringt ein
Open-Source-basiertes Online-Angebot
als Konkurrenz
zu MS Exchange Online auf
den Markt. Als „Homemade
Cloud Solution“ für Kalender
und Mail bezeichnet der
Enterprise-Dienstleister sein
neuestes Produkt.
Sicheres Messaging sei inklusive,
Open Source und offene
Standards eine Selbstverständlichkeit,
sagt Capgemini-
Consultant Bouke Koelstra in
einer niederländischen Pressemitteilung
des Konzerns. Große
Konzerne könnten „eine
Menge Geld sparen“, wirbt er
mit dem bekannten Argument
für quelloffene Software.
Hinter dem Enterprise-Produkt
verbirgt sich die Open-
Source-Groupware Zarafa. Sie
ist dafür beliebt, mobile Geräte
mit der selbst entwickelten
Version des Tools Btrfsfsck
besitzt ebenfalls eine Reparatur-Option,
die Prüfsummen
zurücksetzt. Außerdem gibt
es einige Verbesserungen, die
den Betrieb von Oracle Linux
als Gast unter Oracle VM und
Xen betreffen.
Eine Liste der Änderungen
findet sich in den Release
Notes. Images für Installation
oder für den VM-Betrieb stehen
zum kostenlosen Download
auf einer Oracle-Wikiseite
[https://​wikis.​oracle.​com/​
​display/​oraclelinux/​Downloading+
Oracle+Linux] bereit. Unternehmen
können von Oracle hierfür
auch kostenpflichtigen
Support buchen.
n
Capgemini zielt auf MS Exchange Online
Active-Sync-Alternative Z-
Push [http://​z‐push.​sourceforge.​
​net/​soswp/] zu integrieren, und
verspricht auch Outlook 2010
sinnvoll anzubinden. Dazu
verhilft die eigene Arbeit der
Firma Zarafa an den Exchange
Web Services (EWS).
Capgemini sieht das Groupware-Angebot
laut Mitteilung
nur als „das erste in einer ganzen
Reihe von Produkten, die
allesamt auf den Enterprise-
Markt zielen und Cloud-basiert
arbeiten“, heißt es ehrgeizig
in der Mitteilung.
Capgemini ist ein französischstämmiges
Beratungshaus für
Informationstechnologie. Es
beschäftigt 120 000 Mitarbeiter
weltweit, davon etwa
9000 in Mitteleuropa, und
unterhält Niederlassungen in
34 Ländern. Von den 13 Büros
in Deutschland liegt der
Hauptsitz am teuren Berliner
Potsdamer Platz.
n
Blog:
community.oreilly.de/blog
Google+:
bit.ly/googleplus_oreillyverlag
Clusterbau: Hochverfügbarkeit
mit Linux, 3. Auflage
Michael Schwartzkopff, 424 Seiten, 2012, 44,90 €
ISBN 978-3-86899-358-5
Von modernen IT-Diensten wird erwartet,
dass sie ohne wahrnehmbare Ausfallzeit kontinuierlich
zur Verfügung stehen. Wie Systemadministratoren
dies mit Hilfe der Clustersoftware
pacemaker erreichen können, zeigt
Hochverfügbarkeitsexperte Dr. Michael
Schwartzkopff in dieser aktualisierten dritten
Auflage. Er beleuchtet, was Hoch verfügbarkeit
bedeutet, führt in die Grund lagen von
Clustern ein und erklärt praxisnah die
Arbeitsweise der verschiedenen Programme.
Arduino Kochbuch
Michael Margolis
626 Seiten, 2012, 44,90 €
ISBN 978-3-86899-353-0
Mehr als 200 Tipps & Techniken zur beliebtesten
Microcontroller-Umgebung: Mit dem
Arduino-Kochbuch bringen Sie Ihre Gadgets,
Spielzeuge oder selbstgebaute Roboter dazu,
miteinander zu interagieren. Sie entwickeln
T-Shirts, die spüren, wenn es Zeit für eine
Jacke wird oder Sie umgehen die Fernbe dienung
Ihres Fernsehers u.v.m. Für Arduino 1.0
– keine Vorkenntnisse notwendig.
Praxiswissen Drupal
Friedrich Stahl & Olav Schettler
240 Seiten, 2012, 24,90 €
ISBN 978-3-86899-193-2
Mit Praxiswissen Drupal 7 erhält der Leser
einen kompakten Einstieg in das Open
Source-Framework und lernt anhand eines
Beispielprojekts, eine Drupal-basierte
Website Schritt für Schritt aufzusetzen.
Diese 2. Auflage wurde auf die Drupal-
Version 7 aktualisiert.
Hadoop - The Definitive Guide
Tom White
682 Seiten, 2012, 41,- €
ISBN 978-1-4493-1152-0
Ready to unlock the power of your data?
This book is ideal for programmers looking
to analyze datasets of any size, and for
administrators who want to set up and run
Hadoop clusters. You’ll learn how to build
and maintain reliable, scalable, distributed
systems with Apache Hadoop.
O’REILLY ®
www.oreilly.de
Facebook:
facebook.com/oreilly.de
Twitter:
twitter.com/oreilly_verlag

Aktuell
www.linux-magazin.de News 09/2012
10
Kurznachrichten
Glibc 2.16: Die C-Bibliothek des GNU-Projekts. Neu: Die neue Release
unterstützt das x32-ABI auf x86_64-Systemen. Daneben setzt sie weitere
Features des ISO-Sprachstandards C 11 um. Der Code für Linux-Kernel vor
Version 2.4 sowie für die Unterstützung anderer Binärformate als ELF
wurde entfernt. Daneben haben die Entwickler zahlreiche Bugs behoben.
Lizenz: LGPL [http://​www.​gnu.​org/​software/​libc/]
Wireshark 1.8.0: Freier Traffic-Analyzer in Netzwerken für Linux, Windows
und Mac. Neu: Erstmals kann das Werkzeug den Netzwerkverkehr
mehrerer Schnittstellen gleichzeitig aufzeichnen. Daneben haben die
Entwickler dem Wireshark-Repertoire rund 100 neue Netzwerkprotokolle
hinzugefügt. Wireshark speichert Captures nun im Format Pcap-ng, das
ältere Pcap-Format unterstützt das Tool aber weiter. Dazu kommen einige
neue Formate wie etwa Solaris Snoop. Lizenz: GPLv2 [http://​www.​
​wireshark.​org]
Blog Literately 0.5: In Haskell geschriebener Blogging-Client, der mit
Blog-Engines zusammenarbeitet, die das Metaweblog-API unterstützen.
Neu: Die Release kann auch Bilder publizieren und lässt sich zudem als Bibliothek
in Programmen verwenden. Daneben hebt die Software erwartete
Ausgaben in Sitzungen mit dem Haskell-Interpreter Ghci farbig hervor.
Lizenz: GPLv3 [http://​hackage.​haskell.​org/​package/​BlogLiterately]
Fuduntu 2012.3: Desktop-Distribution mit Sinn für Humor und Ästhetik.
Neu: Linux-Kernel 3.4.4 und GCC 4.6.3. Die Distribution führt Grub 2 als
Bootloader ein, um für mehr Kompatibilität beim wechselweisen Booten
mit anderen Linuxen zu sorgen und die Unterstützung für UEFI vorzubereiten.
Unter den aktualisierten Anwendungen finden sich zudem Chromium
19.0.1084.56, Firefox 13.0.1 und Thunderbird 13.0.1, Gimp 2.8, Libre Office
3.5.4.2 und Wine 1.4.1. Lizenz: GPLv2 [http://​www.​fuduntu.​org/​get.​html]
Super Grub2 Disk: Livesystem, das sich zur Wiederherstellung kaputter
Bootloader eignet. Neu: Die Super Grub Disk ist mit dem Support von Grub
2.00 nun als Super Grub2 Disk verfügbar. Sie kann nicht mehr, wie noch der
Vorgänger, den Master Boot Record direkt schreiben. Stattdessen muss die
Neuinstallation des Bootloaders von einem System erfolgen, das mit der
Super Grub2 Disk gebootet wurde. Diese Disk bootet im Gegensatz zum
Vorgänger auch Mac OS X sowie von USB-Sticks. Lizenz: GPL [http://​www.​
​supergrubdisk.​org/​wiki/​SuperGRUB2Disk]
Pyrun 1.0.0: Python-Laufzeitumgebung in einer einzigen Datei mit Binaries
für Linux, Windows, Mac OS X und Free BSD. Neu: Die Egenix.com GmbH
hat die Software bisher in ihrem Mx ODBC Connect Server eingesetzt und
jetzt im Quelltext veröffentlicht. Das rund 12 MByte große Binary enthält
den Interpreter für Python 2.5 bis 2.7 sowie eine fast vollständige Standardbibliothek.
Laut Hersteller soll darauf der Großteil der existierenden
Python-Skripte und ‐Anwendungen laufen. Lizenz: Egenix Public License
Agreement 1.1.0 [http://​www.​egenix.​com/​products/​python/​PyRun/]
Strongswan 5.0: Freie IPsec-Implementierung für Linux, Android, Free BSD
und Mac OS X. Neu: In der neuen Release ist der Daemon Charon sowohl
für Version 1 als auch für Version 2 des Internet-Key-Exchange-Protokolls
(IKE) zuständig. Der bisherige IKEv1-Daemon Pluto entfällt: Das Projekt
will den Versionszweig 4.x warten, aber nicht mehr weiterentwickeln.
Die Entwickler haben den Messagebus überarbeitet, um Deadlocks durch
Listener zu verhindern. Der aktualisierte Scepclient arbeitet auch mit Windows
Server 2008 R2 zusammen. Lizenz: GPLv2 [http://​www.​strongswan.​
​org/​download.​html]
GNU Units 2.0: Programm zum Umrechnen zwischen Maßeinheiten, mit
dem Anwender eigene Einheiten definieren und auf eingebaute mathematische
Funktionen zurückgreifen. Neu: Die Release kann auch mit Summen
von Einheiten rechnen, etwa Stunden und Minuten oder Feet und Inches.
Die Software kodiert jetzt in UTF-8. Da die neue Version Einheiten relativ
zu Umgebungsvariablen setzen kann, lassen sich Maßeinheiten ohne Änderung
des Locale einstellen. Daneben hat sich die Syntax zum Definieren
nicht linearer Einheiten geändert. Lizenz: GPL [http://​xbmc.​org]
Kolab 3 kommt im Herbst
Kolab 3.0 soll im Herbst dieses
Jahres erscheinen: Unter
dem Titel „Update, Überblick
und Release-Pläne“ hat der
Kolab-Systems-Geschäftsführer
Georg Greve in seinem
Blog den aktuellen Stand und
die weitere Entwicklung des
Groupware-Servers skizziert
[http://​kolab.​org/​blog/​greve/​2012/​
​07/​03/​kolab‐3.​0‐updateoverviewand‐release‐plans].
Die Software
war eigentlich schon für Mai
angekündigt. Doch „mehr Arbeit
als erwartet, weniger Hilfe
als erhofft und unerwartete
Unterbrechungen“ hätten zu
der Verzögerung geführt,
schreibt Greve.
Neben dem neuen Webfrontend
(basiert auf Roundcube,
nicht mehr Horde) und verbesserter
Anbindung von KDE
4.9 standen der Relaunch der
Webseite, zahlreiche IRC-
Meetings und die zwischenzeitliche
Veröffentlichung von
Kolab 2.4 auf der To-do-Liste.
Systemarchitekt Jeroen van
Meeuwen und Maintainer
Cristoph Wickert haben laut
Greve vor allem an der Skalierbarkeit,
der LDAP-Integration
und dem Ressourcenmanagement
gearbeitet. Neu ist
auch ein REST-API.
Weiter erlaubt das neue Konzept
eines „Serverside Akonadi“
dem Groupware-Server,
sich zwischen die Clients einzuklinken.
Hier puffert und
indiziert er die Daten und
soll so für deutlichen Geschwindigkeitszuwachs
sorgen.
Außerdem arbeiten die
Entwickler mit Owncloud zusammen,
um den Anwendern
Cloud-Datendienste anbieten
zu können. (uba/mhu/azi/
jkl/mfe/ofr/ake)
n
Im Kolab-Wiki haben die Entwickler die neue Struktur der Kolab-Groupware als
Diagramm hinterlegt. Das Zentrum bildet der Akonadi Control Server.
© Kolab

1&1 WEBHOSTING
BESSER HOSTEN!
Kein anderer Webhoster
überzeugt durch so viel
Kompetenz, Know-how
und Qualität wie 1&1.
Ausgabe 05/12 Ausgabe 07/12
Maximal sicher:
Paralleles Hosting Ihrer
Website in zwei Hightech-
Rechenzentren an verschiedenen
Orten!
Superschnell:
275 GBit/s Anbindung!
Umweltschonend:
Grüner Strom!
Zukunftssicher:
1.300 eigene Entwickler!
… ACHTUNG! ANGEBOT ENDET AM 31.08.2012 … ACHTUNG! ANGEBOT ENDET AM 31.08.2012 …
Komplett-Paket für professionelle Websites:
■ 4 Domains inklusive (Auswahl aus .de, .com, .net, .org,
.biz, .info, .name, .eu, .at)
■ 4 GB Webspace
■ UNLIMITEDTraf fi c
■ 5 FTP-Accounts
■ 5 MySQL Datenbanken (je 1 GB)
■ UNLIMITED Click & Build Apps (Auswahl aus 65 Anwendungen,
z. B. Joomla!, WordPress, eCommerce, CMS)
■ PHP5, Zend Framework, Perl, Python, Ruby, SSI
■ NUR BEI 1&1: GEO-REDUNDANZ!
Maximale Verfügbarkeit durch paralleles Hosting
in zwei örtlich getrennten Hightech-Rechenzentren
■ u. v. m.
1&1 DUAL BASIC
1 JAHR FÜR
0,–99 6, danach
6,99 0,–€/Monat,
0,–€/Monat*
DOMAINS OHNE EINRICHTUNGSGEBÜHR – AKTION BIS 31.08.:
€/Monat
29
(im 1. Jahr)
.de 0, 0, 49 €
.com/.net/.org
*
€/Monat
69 (im 1. Jahr) .com/.net/.org 0, 1, 49 €
*
0 26 02 / 96 91
0800 / 100 668 www.1und1.info
* 1&1 Dual Basic im 1. Jahr 0,– €/Monat, danach 6,99 €/Monat. .de Domain im 1. Jahr 0,29 €/Monat, danach 0,49 €/Monat, .com, .net, .org im 1. Jahr 0,69 €/Monat, danach 1,49 €/Monat.
Einmalige Einrichtungsgebühr 9,60 € (entfällt bei Domains). 24 Monate Mindestvertragslaufzeit (12 Monate bei Domains). Preise inkl. MwSt.

Aktuell
www.linux-magazin.de Zahlen & Trends 09/2012
12
Zahlen & Trends
Wikimedia Deutschland verleiht Zedler-Preise
Zum Abschluss der Konferenz
Wikipedia Academy vom 29.
Juni bis 1. Juli 2012 in Berlin
hat Wikimedia Deutschland
den Zedler-Preis für freies
Wissen vergeben. Der in drei
Kategorien vergebene Preis
feierte dieses Jahr sein Debüt.
Mit einem Jahr Vakanz löst er
die 2010 letztmals verliehene
Zedler-Medaille ab.
Der Zedler-Preis belohnt,
anders als seine Vorgängerin,
nicht mehr nur außergewöhnliche
Artikelbeiträge zur
Wikipedia, sondern auch das
beste Community-Projekt und
darüber hinaus das beste externe
Wissensprojekt.
Die Trophäen des Zedler-Preises 2012, der die Zedler-Medaille ablöst.
In der Kategorie I siegte „Nuklearkatastrophe
von Fukushima“
als Wikipedia-Artikel
des Jahres. Das österreichische
Portal „Denkmallisten“
© CC-BY-SA-3.0 von Raimond Spekking via Wikimedia Commons
entschied als Community-Projekt
die zweite Kategorie für
sich. Drittens überzeugte als
externes Wissensprojekt des
Jahres das „Vroniplag“-Wiki.
Insgesamt standen 17 Personen,
Gruppen und Projekte
zur Wahl, die eine Jury aus
ehrenamtlichen Wikipedia-
Aktiven, Wissenschaftlern
und Journalisten aus rund
100 eingereichten Vorschlägen
nominiert hatte. Der Preisverleihung
ist eine Wiki-Seite mit
mehr Informationen gewidmet
[http://​wikimedia.​de/​wiki/​
​Zedler‐Preis].
Die Auszeichnung ist nach
Johann Heinrich Zedler benannt,
der im 18. Jahrhundert
ein Universal-Lexikon herausbrachte,
das als größtes bis
dahin gedrucktes Universallexikon
des Abendlands gilt. n
Gebrauchte Software: Weiterverkauf ist legal
Mit einem überraschenden
Sieg über Oracle endete kürzlich
ein Verfahren von Oracle
gegen die deutsche Firma
Used Soft vor dem Europäischen
Gerichtshof (EuGH).
Der deutsche Bundesgerichtshof
hatte den EuGH ersucht,
die Richtlinie (2009/24/EG)
über den Rechtsschutz von
Computerprogrammen auszulegen.
Nach Meinung der
europäischen Richter ist der
Handel mit gebrauchter Software
zulässig.
Demnach erschöpft sich das
alleinige Recht zur Verbreitung
einer Programmkopie
mit dem Erstverkauf. Der
Rechtsinhaber, der das Programm
in einem Mitgliedsstaat
der Union vermarktete,
kann sich dann nicht mehr auf
sein Verwertungsmonopol berufen.
Sprich: Er kann nichts
gegen den Weiterverkauf des
Programms tun, selbst wenn
der Lizenzvertrag eine spätere
Veräußerung untersagt.
Oracle hatte den Standpunkt
vertreten, dass dies bei Downloads
nicht der Fall sei. Der
EuGH findet jedoch, der Verkauf
per Datenträger sei dem
per Download gleichgestellt.
Lediglich dürfe der Wiederverkäufer
Volumenlizenzen
nicht aufspalten. Er muss also
ein gekauftes Paket genau so
weiterverkaufen.
Oracle zeigt sich von dem Urteil
enttäuscht: „Wir meinen,
dass der Gerichtshof der Europäischen
Union die Chance
verpasst hat, eine klare Botschaft
über den Wert von Innovation
und geistigem Eigentum
an die europäische Wirtschaft
auszusenden. Unserer
Ansicht nach ist dies nicht das
Ende der Rechtsentwicklung“,
so Truiken Heydn von TCI
Rechtsanwälte, dem Oracle-
Vertreter vor dem EuGH.
Microsoft findet auch einen
positiven Aspekt, wie ein Unternehmenssprecher
hervorhebt:
„Im Großteil sind die
Volumenlizenzverträge von
Microsoft betroffen. In dem
Urteil wird gesagt, dass der
Weiterverkauf von Lizenzen
zwar erlaubt ist, aber nicht
die Aufspaltung von Lizenzen.
Siemens wird nicht
plötzlich all seine Lizenzen
verkaufen.“
Der Branchenverband Bitkom
befürchtet, dass das Urteil
Raubkopien Tür und Tor
öffne. Hauptgeschäftsführer
Bernhard Rohleder kommentiert:
„Bei einem unkontrollierten
Weiterverkauf kann
aus einer legalen Kopie schnell
eine Vielzahl illegaler Kopien
werden. Es ist fraglich, ob die
ursprünglichen Lizenzbedingungen
dann noch nachvollziehbar
sind.“
n

Google Plus mit Events auch für Tablets
Auf seiner Entwicklerkonferenz
gab das Suchmaschinen-Unternehmen
Google
bekannt, dass es sein soziales
Netzwerk Google Plus erneut
überarbeitet hat. Unter
anderem gibt es nun eine an
Tablets angepasste Version.
Bisher war die Google-Plus-
Oberfläche nicht für Android-
Tablets optimiert.
Mit der nun auf der Konferenz
veröffentlichten Tablet-Version
sind die Beiträge im Stream
wie Kacheln angeordnet. Ein
Klick auf einen Beitrag öffnet
diesen im Detail, von unten
herauf lassen sich die Kommentare
aufziehen und eigene
Beiträge einfügen.
Auch am Smartphone hat
sich das Äußere der Anwendung
deutlich gewandelt. Der
Stream wirkt jetzt schlanker
und Texte rücken mehr in den
Fokus, da die App sie in ihrer
Übersicht nicht mehr so stark
kürzt wie vorher.
Neu bei Google Plus
sind die Google Plus
Events zum Organisieren
von Treffen. Damit
fertigen Nutzer via
Web oder im mobilen
Client Einladungen an
und verteilen sie an ihre
Kreise. Der Empfänger
erhält die Information
in Google Plus wie
bei einer persönlichen
Nachricht. Sagt er zu,
wandert der Termin
automatisch in den
Google-Kalender.
Der Clou von Google
Plus Events ist jedoch
der Partymodus. Ist
dieser auf dem Handy
aktiviert, fügt es ohne
Umwege und in Echtzeit
Bilder und Videos zu dem
jeweiligen Event hinzu. Das
gilt für den Veranstalter selbst
Ansicht der neuen Tablet-Variante von Google Plus.
wie auch für die Gäste. Die
Fotos lassen sich auch direkt
in einer Live-Diashow ansehen.
Nach dem Event
bleibt eine Sammlung auf
der jeweiligen Veranstaltungsseite
übrig, die alle
Bilder, Videos und Kommentare
der Teilnehmer
in chronologischer Reihenfolge
zeigt.
Google holt vieles nach,
das bei seinem sozialen
Netzwerk bislang fehlte.
Unter Technik-Fans galt
Google Plus bislang zwar
als beliebt, konnte jedoch
mit den sozialen Features
etwa von Facebook nicht
mithalten. Die offizielle
Ankündigung von Google
Plus für Tablets findet
sich im Google-Blog unter
[http://​googleblog.​blogspot.​de/​
​2012/​06/​1.​html].
n
© Google
Zahlen & Trends 09/2012
Aktuell
www.linux-magazin.de
13
Jetzt auch Paypal: Bugs gegen Bares
Neue Apps für
Zarafas API
VMware kauft
Dynamicops
Vorbildern wie Mozilla folgend
legt der Bezahlservice Paypal
ein Bonusprogramm für die
Suche nach Fehlern auf. Der
Dienst will mit der Aktion
seine Sicherheit erhöhen, indem
er auf den Community-
Prozess setzt und damit die
Zahl der begutachtenden Augen
erhöht.
Mit diesem Ziel wird das
bisher vorhandene Bug-Reporting-Programm
zu dem
bezahlten Programm „Bug
Bounty“, so schreibt Michael
Barrett, Chief Information
Security Officer von Paypal,
im Firmenblog. Die positiven
Erfahrungen von Firmen wie
Facebook, Google, Mozilla,
Samsung und anderen hätten
Paypal dazu bewogen,
ein vergleichbares Programm
aufzusetzen. Seine ursprüngliche
Skepsis gegenüber der
bezahlten Fehlerjagd, so Barrett,
sei verflogen, nachdem
er die Statistiken zu diesen
Aktionen gesehen habe.
Paypal bekennt sich also zum
Viele-Augen-Prinzip, will aber
nicht verraten, wie viel Geld
es für die Fehlerjäger springen
zu lassen bereit ist. Zur
Auszahlung bedarf der Belohnte
natürlich eines Paypal-
Accounts.
Details zu dem neuen Programm
sind auf der Paypal-
Webseite unter [https://​cms.​
​paypal.​com/​cgi‐bin/​marketingweb?​
​cmd=_render‐content&​content_ID=​
security/​reporting_security_issues]
nachzulesen.
n
Die neue Weboberfläche von
Zarafas Groupware „Web
App“ bietet ein API an, mit
dem Entwickler eigene Apps
einfacher ins GUI integrieren.
Als Beleg hat der Hersteller
auf seinem Developer Summit
Entwickler am 21. und 22.
Juni im niederländischen Rolduc
darin unterstützt, innerhalb
von 48 Stunden eigene
Apps zu programmieren.
Heraus kamen ein Twitter-
Plugin, ein PDF-Viewer und
die Anbindung an Dropbox
sowie an Sugar CRM. Unter
[https://​community.​zarafa.​com/​pg/​
​blog/​read/​12715/​results‐of‐the‐​48‐
hour‐feature‐run‐summercamp‐2012]
stellt das Unternehmen die
Ergebnisse vor.
n
VMware hat einen Vertrag zum
Kauf der Firma Dyna micops
geschlossen, wie das Unternehmen
in einer Mitteilung
bekannt gab. Dynamicops,
das aus der IT-Abteilung der
Credit Suisse hervorgegangen
ist, stellt Software für Automatisierung
und Management
heterogener virtualisierter
Umgebungen her.
Damit erweitert VMware seine
Admin-Fähigkeiten auf die
Hypervisor-Systeme anderer
Hersteller, etwa Xen und Hyper-V.
Auch das Management
von Knoten in der Amazon-
Cloud wird damit möglich.
Im dritten Quartal 2012 soll
die Übernahme formal abgeschlossen
sein.
n

Aktuell
www.linux-magazin.de Zahlen & Trends 09/2012
14
Unternehmen befreunden sich mit Clouds
Cloud Computing findet als
neues Paradigma seinen Weg
in die Unternehmen, das resümiert
der Marktforscher IDC.
Dem „Cloud Computing in
Deutschland 2012“ widmete
er jüngst im Kundenauftrag
eine Studie, deren Ergebnisse
er jetzt vorgestellt hat.
Demnach nutzen 83 Prozent
der befragten 284 deutschen
Mittelständler Cloud
Computing zumindest temporär.
Fast ein Viertel strebe
sogar an, möglichst alle Services
in die Cloud zu migrieren,
heißt es. Bei mehr als der
Hälfte der Unternehmen ist
das Thema Bestandteil ihrer
offiziellen IT-Strategie.
Als Antriebsfaktor steht nach
wie vor die Kostensenkung
an erster Stelle. Doch Motive
wie der mobile Zugriff auf
Daten und Unternehmensanwendungen
oder eine Verbesserung
der Sicherheit durch
die Cloud haben im Vergleich
zum vergangenen Jahr um 15
Prozent zugelegt.
Nicht mehr Sicherheitsprobleme
hemmen die Adaption
in erster Linie, die gleichwohl
nach wie vor zu berücksichtigen
sind. Dafür zeigen sich
Unternehmen jetzt besorgter
bezüglich Performance und
Verfügbarkeit bei Public-
Cloud-Services. Auch Sorgen
um deren Integrierbarkeit lassen
Zurückhaltung üben.
Auch dieses Detail ergab die
Studie: Wo die IT-Abteilung
der Nachfrage nach Cloudservices
nicht schnell genug
nachkommt, nutzen Fachabteilungen
Office- oder E-Mail-
Angebote aus der Cloud sowie
externe Kollaborationslösungen
– häufig auf eigene Faust
und ohne die IT-Abteilung zu
informieren.
n
Ex-Nokias starten Meego-Firma
Linuxday Dornbirn ruft Papers
Der Handyhersteller Nokia
hat seine Mobil-Linux-Pläne
aufgegeben. Nach den Entlassungen
rund um die Meltemi-
Plattform vor wenigen Tagen
sorgen jetzt einige Ex-Nokia-
Mitarbeiter für Furore: Meego
soll weiterleben, die Firma
Jolla Ltd. soll schon Ende des
Jahres ein Smartphone mit
dem mobilen Linux auf den
Markt bringen.
Hinter Jolla stehen Namen
der Maemo- und ​Meego-Entwicklerszene,
zum Beispiel
Antti Saarnio, Jussi Hurmola,
Sami Pienimäki, Stefano
Mosconi oder Marc Dillon.
Mit ihrer eigenen Firma wollen
sie vollenden, was Nokia
nach Meinung vieler stets nur
halbherzig betrieben habe:
ein echtes Linux-Smartphone
mit Paketmanagement, Kommandozeile,
Qt- und X11-
Kompatibilität sowie umfangreichen
und sicheren Features
zu entwickeln und auch zu
vermarkten.
„Zusammen mit internationalen
privaten Investoren und
Partnern werden wir noch in
diesem Jahr ein neues Smartphone
präsentieren, das dieses
OS verwendet“, lautet das
Versprechen in einer Pressemitteilung.
Ansonsten ist
über Jolla noch recht wenig
bekannt: Die Webseite [http://​
​www.​jolla.​fi] ist noch leer, eine
Linked-in-Gruppe ebenfalls
noch wenig aussagekräftig.n
Das N9 von Nokia von Mitte 2011 ist das derzeit einzige Smartphone mit Meego.
© Nokia
Am 24. November findet im
österreichischen Dornbirn
der Linuxday 2012 statt. Die
Veranstalter laden dazu ein,
Vorträge einzureichen. Erwünscht
sind generell Beiträge
zu allen Linux- und
Open-Source-Themen, es gibt
aber einige Themenschwerpunkte.
Dazu gehören Cloud
Computing, Android, IPv6,
dezentrale soziale Netzwerke
(etwa Diaspora), Privatsphäre
im Internet sowie Multimedia
fürs Zuhause.
Themenvorschläge nehmen
die Veranstalter bis zum 23.
September 2012 unter der E-
Mail-Adresse [papers​@​jlinuxday.​
​at] entgegen. Auch 10-minütige
Kurzvorträge (Lightning
Talks) für Kleineres sind
möglich. Informationsstände
im Ausstellungsbereich sind
ebenfalls noch zu haben. Weitere
Informationen zu der Veranstaltung,
die keinen Eintritt
kostet, gibt es auf der Linuxday-Homepage
unter [http://​
​www.​linuxday.​at].
n
Netzwerksicherheit-Erklärer gesucht
Der 20. DFN-Workshop „Sicherheit
in vernetzten Systemen“
sucht Referenten.
Der Workshop mit rund 300
Teilnehmern findet am 19.
und 20. Februar 2013 in Zusammenarbeit
mit dem DFN-
CERT im Grand Elysee Hotel
Hamburg statt.
Gewünscht sind Beiträge in
Form einer anonymisierten
Zusammenfassung (Abstract)
oder eines vollständigen Paper.
Beispiele für geeignete
Themen sind neue Angriffstechniken,
Botnetze, RFID-
Sicherheit, Sicherheit Webbasierter
Anwendungen, Erkennen
und Klassifizieren von
Malware und Angriffen sowie
rechtliche Aspekte von IT-
Sicherheit und Datenschutz.
Weitere Informationen finden
sich auf der Webseite [https://​
​www.​ldfn-cert.​de/​veranstaltungen/
workshop.html].
n

Die Digitalwirtschaft brummt
Eine Studiensammlung des
Bundesverbands Digitale
Wirtschaft (BVDW, [http://​
​www.​bvdw.​org]) belegt, dass die
digitale Wirtschaft in Deutschland
ein Wachstumsmotor für
die Wirtschaft ist. Das kostenlos
erhältliche Papier sammelt
die Ergebnisse mehrerer Untersuchungen
ein, um Trends
herauszuarbeiten und mit
Fakten zu hinterlegen.
Zum Kern der digitalen Wirtschaft
zählen die Autoren die
Bereiche Service Access (mobile
und stationäre Dienste
für den Internetzugang und
die Domainvergabe), Applikationen
und Services (IT-
Outsourcing, Hosting, Cloud
Computing, Online-Marketing,
Webanwendungen) und
End-User-Interaktion (E-Commerce
zwischen Unternehmen,
B2C-E-Commerce mit
Waren und Onlineservices sowie
Webcontent-Produktion).
Diese Wirtschaftsbereiche
werden der Studie zufolge in
diesem Jahr mit etwa 390000
Beschäftigten 120 Milliarden
Euro Umsatz erwirtschaften,
gegenüber 110 Milliarden im
Jahr 2011. Zwischen 2008
und 2012 wuchs die Branche
um jährlich neun Prozent im
Durchschnitt.
Diese Entwicklung schlägt
sich auch auf dem Arbeitsmarkt
nieder: Ein einziger
Beschäftigter in der digitalen
Wirtschaft sichert die Arbeitsplätze
von acht bis zehn
Beschäftigten in der Gesamtwirtschaft,
heißt eines der erstaunlichen
Ergebnisse. Auch
in der Digitalwirtschaft selbst
wächst der Arbeitskräftebedarf:
2012 gaben knapp zwei
Drittel der Unternehmen an,
im Jahr 2011 neue Mitarbeiter
fest angestellt zu haben. Für
2012 prognostizierten sogar
drei Viertel der Befragten eine
weitere Zunahme ihrer Mitarbeiterzahl.
In Bezug auf Professionals
findet sich der höchste Bedarf
in den Bereichen Projektmanagement,
Strategie und ​Business
Development, Marketing
und Vertrieb sowie Informations-
und Kommunikationstechnologie.
Etwa sechs von
zehn der Befragten suchen
zudem verstärkt Professionals
für den Bereich Beratung und
Custumer Relationship Management
(CRM).
Als Trends bezeichnet die Studie
steigenden Nutzerzahlen
im Internet, die zunehmenden
Online-Anwendungen
sowie die stärkere Beteiligung
und Interaktion dank sozialer
Netzwerke. Außerdem würden
Technologien und Medien
immer mehr verschmelzen
und bewegte Bilder im Web
noch häufiger auftreten. n
Zahlen & Trends 09/2012
Aktuell
www.linux-magazin.de
15
Mozilla sondert Thunderbird aus
Linux-Server
Das Administrationshandbuch
Linux
Das umfassende Handbuch
Die Mozilla Foundation ändert
das Entwicklungsmodell
ihres E-Mail-Programms
Thunderbird. Eine letzte
Version mit Langzeitunterstützung
(Extended Support
Release, ESR) soll im November
erscheinen. Danach wird
es von der Stiftung selbst alle
sechs Wochen nur noch Sicherheitsupdates
geben. Neue
Funktionen mögen freiwillige
Helfer beisteuern.
Für diese recht drastische
Maßnahme nennt Mitchell
Baker, die Vorsitzende der Mozilla-Stiftung,
mehrere Gründe
in ihrem Blog. So seien die
Thunderbird-Anwender mit
dem bisherigen Funktionsumfang
zufrieden, dieser somit
ausreichend, argumentiert
sie. Zudem habe Mozilla es
nicht geschafft, mit dem E-
Mail-Client neue Impulse in
der Internetkommunikation
zu setzen.
Baker weist auch darauf hin,
dass eine aktive Helfer-Basis
fehle, einzige Ausnahme
wären die engagierten Übersetzerteams.
Zudem würden
heutzutage auch immer häufiger
Webmail-Dienste genutzt.
Nach Angaben der Mozilla
Foundation hat Thunderbird
weltweit um die 20 Millionen
Nutzer.
Das Thunderbird-Team sei daher
der Meinung, dass für ihr
E-Mail-Programm nur noch
die Stabilität im Vordergrund
stehe. Mozilla werde weiterhin
Sicherheitsaktualisierungen
und Fehlerkorrekturen
liefern. Neue Funktionen
hingegen müssen nach dem
neuen Entwicklungsmodell
aus der Nutzergemeinschaft
kommen. Die Mozilla Foundation
finanziert weiterhin ein
kleines Entwicklerteam und
stellt die nötige Infrastruktur
bereit, heißt es.
n
964 S., 2. Auflage, 49,90 €
» www.GalileoComputing.de/3051
openbook
online!
1.282 S., 5. Auflage 2012, mit 2 DVDs, 49,90 €
» www.GalileoComputing.de/2963
Linux-Wissen
LPIC-1
545 S., 3. Auflage 2012, mit DVD, 34,90 €
» www.GalileoComputing.de/2653
www.GalileoComputing.de
LPIC-2
554 S., mit DVD, 39,90 €
» www.GalileoComputing.de/2886
Wissen, wie’s geht.

Aktuell
www.linux-magazin.de Zahlen & Trends 09/2012
16
Linux Essentials starten offiziell
Das Linux Professional Institut
(LPI) hat den allgemeinen
Startschuss für sein Linux-
Essentials-Programm rund
um Linux und Open Source
gegeben. Das Programm
richtet sich an Neueinsteiger
und Jugendliche, setzt aber
gewisse Kenntnisse voraus.
Die Prüfung ist ab sofort bei
diversen Events im Angebot,
zum Beispiel bei der „Campus
Party Berlin“ am 21. August
sowie bei der Froscon
am 25. August. Neben diesen
Prüfungen sind auch Internetbasierte
Tests geplant.
Das Essentials-Programm enthält
unter anderem die Themengebiete:
Linux-Community,
berufliche Laufbahn im
Bereich Open Source, gängige
Betriebssysteme, wichtige
Open-Source-Anwendungen,
Lizenzen, Grundlagen der
Kommandozeile, Dateien und
Skripte. Details findet sich auf
der Website unter [http://​www.​
​lpi.​org/​linuxessentials]. n
Die Prüfung für Linux-Grundlagen
wappnet für tiefere Einsichten.
© LPI Central Europe
KDE hält Qt die Treue
Jos Poortvliet, der Community-Manager
von Open Suse,
lässt im KDE-Blog verlauten,
dass das Desktop-Projekt
KDE am Qt-Toolkit festhalten
werde, selbst wenn Nokia
sich zurückziehen sollte. Unter
anderem Nokias Partnerschaft
mit Microsoft in Sachen
Windows Phone nährte bisher
in der Community Befürchtungen,
dass das finnische
Unternehmen sich von Qt
zurückziehen werde, erklärt
Poortvliet.
Damit würde immerhin der
größte Sponsor des GUI-Toolkits
entfallen, auch wenn Qt
mittlerweile offiziell unter der
Obhut einer eigenen Organisation
steht. Poortvliet bekräftigt
aber, das KDE-Projekt werde
weiterhin mit Copyright-
Inhabern sowie allen an der
Qt-Entwicklung Beteiligten
zusammenarbeiten. Zudem
wolle sich KDE für den Status
von Qt als freie Software einsetzen
und an der Weiterentwicklung
beteiligen.
Auch beruft sich Jos Poortvliet
auf KDEs Abkommen mit Nokia
(siehe [http://​www.​kde.​org/​
​lcommunity/whatiskde/kdefreeqtfoun​dation]),
wonach das Unternehmen
sich dazu verpflichtet,
das Toolkit für die
Verwendung in freier Software,
insbesondere KDE-Software,
verfügbar zu halten. n
Dell lässt Ubuntu-Ultrabooks testen
Mozilla findet Partner für Firefox OS
Dell hat mit „Project Sputnik“
die Betaphase für sein
geplantes Ubuntu-Ultrabook
begonnen. Die Firma will das
XPS13-Ultrabook mit einem
vorinstallierten Ubuntu 12.04
verkaufen und hört sich nun
bei den Benutzern nach deren
Wünschen um. Zwar hat Dell
eine Webseite für das Projekt
eingerichtet, liefert die Geräte
aber zurzeit noch mit vorinstalliertem
Windows aus. Über
eine Ubuntu-Webseite laden
die Anwender dann ein angepasstes
Ubuntu-Image von
Dell herunter.
Dells Marketing-Mitarbeiter
Barton George ruft in seinem
Blog [http://​www.​bartongeorge.​
​net/​2012/07/02/announcing-project
-sputnik-beta-program/] dazu
auf, ein „Sputnik Beta Cosmonaut“
zu werden. Die Teilnehmer
an dieser Aktion erhalten
eine preisgünstige Variante
des Laptops: Dafür testen sie
das Ubuntu-Ultrabook und
berichten an Dell.
Nach ersten Berichten bootet
das Gerät angeblich so
schnell, dass es schwierig
ist, ins Bios zu gelangen, so
ist bisher bekannt. Kritikpunkt
ist das Touchpad, das
sich nicht abschalten lässt
und keine Multitouch-Gesten
erkennt. Mittlerweile soll es
einen Open-Source-Treiber
von Canonical geben, der die
Probleme behebt.
Mit dem Gerät richtet sich
Dell vor allem an Entwickler,
entsprechend soll es populäre
Entwicklungsumgebungen
mitbringen und es
Codern erleichtern, auf die
Programmierwerkzeuge ihrer
Lieblingssprache zuzugreifen.
Dell installiert auf dem
Image unter anderem Juju,
Chef, Puppet, Bazaar, Git und
Meld. Wann das Gerät in den
Handel kommt, ist offen. n
Mozillas Linux-basiertes Betriebssystem
mit Gecko-Browser
soll Firefox OS heißen.
Nun nennt der Browserhersteller
auch Kooperationspartner:
Die ersten Geräte für das
neue Mobil-Betriebssystem
sollen von ZTE und TCL Communication
Technology unter
der Marke Alcatel One Touch
erscheinen. In ihnen stecken
die Snapdragon-ARM-Prozessoren
von Qualcomm,
so lautet der
Plan.
Der kommerzielle
Start soll Anfang
2013 zunächst in
Brasilien unter Telefonicas
Marke Vivo
erfolgen. Weitere
Partner sind die
Mobilfunk-Anbieter
Deutsche Telekom,
Etisalat, Smart,
Sprint, die Telecom
Italia und Telenor.
Die Technologie für Firefox
OS liefert das Mozilla-Projekt
Boot to Gecko (B2G), das
die Browser-Engine mit dem
Linux-Kernel kombiniert.
Firefox OS ist für in HTML
5 umgesetzte Anwendungen
gedacht. Das Mozilla-Wiki beschreibt
Details unter [https://​
​wiki.​mozilla.​org/​B2G/​Architecture].
(uba/mhu/jcb/azi/mfe/kki/ake/
Tim Schürmann)
n
Firefox schwebt über Smartphone: So visualisiert
Mozilla sein Mobil-Betriebssystem.
© LPI Central Europe

WEBHOSTING · SCHULUNGEN · SUPPORT
Professionelle Hostinglösungen
Performance & Verfügbarkeit
auf höchstem Niveau
Managed Server Lösungen vom Profi
„Ich setze auf Linux –
genau wie mein Webhoster!“
Der Open Source Gedanke ist mir wichtig
und ich finde es großartig, dass Mittwald
sich so aktiv für die Communitys einsetzt.
Hinzukommt, dass Performance und Verfügbarkeit
einfach stimmen und ich mich
auf das 24/7-Monitoring und den kompetenten
Service vollkommen verlassen kann.
Ich fühle mich rundum wohl!
Performance-Hungrige nutzen z. B.
Managed Server Lösungen 6.0
Hochwertige Server-Hardware
300 % Magento-Performance
Bis zu 24 Prozessorkerne
Bis zu 128 GB Arbeitsspeicher
Leistungsstarke Server-HDDs
Hardware-RAID 1/10 (optional)
Individuell konfigurierbar
Bereits ab monatlich:
€ 99,99*
zzgl. MwSt.
Alle Angebote richten sich ausschließlich an Gewerbetreibende
Alle Hostinglösungen unter: www.mittwald.de
Rufen Sie uns kostenlos an: 0800 / 440 3000
* Alle genannten Preise verstehen sich monatlich zzgl. MwSt. Die einmalige Einrichtungsgebühr
für die Managed Server 6.0 beträgt 149,- €. Die Vertragslaufzeiten und Abrechnungszeiträume
betragen für die Managed Server 6.0 zwischen 12 und 36 Monate. Automatische
Vertragsverlängerung um 12 Monate, wenn der Vertrag nicht mit einer Frist von
30 Tagen zum Ende der jeweiligen Vertragslaufzeit gekündigt wird.
www.mittwald.de

Aktuell
www.linux-magazin.de Kernel-News 09/2012
18
Zacks Kernel-News
Wie arbeitet der Maintainer der Zukunft?
Der deutsche Kernelentwickler
Thomas Gleixner packte ein
heißes Eisen an, als er die
Mailingliste fragte: „Wie gehen
wir mit alteingeführten
Maintainern um, die hauptsächlich
ihre eigenen Anliegen
verfolgen und berechtigte
Kritik ignorieren?“
Hierauf erwiderte Greg Kroah-
Hartman: „Das wunderbare
Problem, wie man einen
Maintainer loswird, der nichts
bringt. Eine harte Nuss. Ich
glaube, eine Standardprozedur
dafür gibt es nicht. Zum
Glück sind die wirklich Verrückten
in der Vergangenheit
von selbst verschwunden.“
Alan Cox dagegen verteidigt
störrische Maintainer. Seiner
Meinung nach kochen sie
nicht ihr eigenes Süppchen,
sondern tun, was sie für
sachlich notwendig halten –
und das sollte ein Maintainer
schließlich.
Als Beispiel führt Alan den
umstrittenen Scheduler des Linux-Kernels
an: „Ich bin überzeugt,
es wäre besser für 99
Prozent der Anwender, wenn
Greg Kroah-Hartman hat eine Art Selbstverpflichtung für Maintainer formuliert.
wir den ganzen derzeitigen
Scheduler-Unsinn abschafften
und ihn durch eine leicht angepasste
Version von Ingos ursprünglichem
Scheduler O(1)
ersetzen würden.“ Daneben
erkennt er aber an, dass sich
manche Betreuer von Linux-
Code auch um neugeborene
Kinder oder berufliche Notfälle
kümmern müssen.
Deshalb schlägt er vor, für
wichtige Bereiche des Kernels
je zwei Co-Maintainer einzusetzen,
die einander ergänzen
und im Bedarfsfall vertreten.
Dieser Vorschlag gefällt Mark
Brown von Wolfson Microelectronics
und dem Netapp-
Entwickler Trond Myklebust.
Trond fordert darüber hinaus,
dass jedes eingereichte Patch
zumindest begutachtet und
mit dem Tag »Reviewed‐by:«
versehen wird. Dave Chinner
aus Australien meint, die
Entwickler sollten eine Kultur
etablieren, in der sie gegenseitig
ihre Patches bewerten. So
ließe sich die Arbeitslast der
Maintainer reduzieren.
Greg Kroah-Hartman startete
einen neuen Thread, in dem
er eine Selbstverpflichtung
für Maintainer formuliert:
„Als Maintainer werde ich
mich bemühen, für alle mir
zugesandten Patches das Folgende
zu tun (außer ich bin
krank oder Ähnliches): Ich
werde Dein Patch innerhalb
von ein bis zwei Wochen
begutachten. Ich liefere eine
halbwegs konstruktive Kritik
Deiner Patches. Ich lasse Dich
wissen, ob Dein Patch abgewiesen
oder akzeptiert wurde,
in welchem Zweig es gelandet
ist und wann es voraussichtlich
in den Zweig von Linus
kommt.“
Daneben bittet Greg die Entwickler
darum, das Merge-
Window zu berücksichtigen,
wenn er hauptsächlich mit
Bugfixes für die nächste Release
beschäftigt ist. Frühestens
nach dem ersten Release-
Kandidaten von Torvalds
könne er sich dann um die
Patches kümmern, die sich in
der Zwischenzeit angehäuft
hätten.
Es gab zwar keine direkten
Reaktionen auf Gregs Selbstverpflichtung,
doch es liegt
nahe, dass sich die Maintainer
an die gestiegenen Anzahl
eingereichter Patches anpassen
müssen.
n
Persönliche Versionsnummern nicht zu empfehlen
Der australische Entwickler
Chris Jones hat sich mit einer
ungewöhnlichen Frage an die
Mailingliste gewandt: Darf er
für seine angepassten Kernel
auch persönliche Versionsnummern
vergeben? Dabei
gäbe er selbstverständlich an,
auf welcher offiziellen Version
ein Systemkern beruhe.
Greg Kroah-Hartman antwortete,
im Prinzip könne Chris
als Versionsnummer verwenden,
was er wolle. Daneben
gab er aber zu bedenken:
„Wenn Du möchtest, dass
andere Entwickler verstehen,
von welcher Kernelversion Du
sprichst, wenn Du Rat oder
Unterstützung brauchst, mach
es besser wie die Linux-Distributionen:
Sie hängen schon
lange ihre interne Nummerierung
an die offizielle an.“ Ein
Archlinux-Kernel auf Basis
von 3.4.4 beispielsweise meldet
sich auf »uname ‐r« dann
als »3.4.4‐2‐ARCH«. n

Lizenz-Versäumnis
Die Programmierer des Kernels
haben immer wieder auch mit
Lizenzfragen zu tun. Zuletzt
bemerkte Matthew Garrett,
dass das Unternehmen Cloudlinux
sein »lve«-Modul unter
proprietärer Lizenz anbot,
das zuvor unter GPL stand.
Das ist selbstverständlich
erlaubt, doch pikanterweise
spielte das Modul dem Kernel
immer noch vor, es sei GPLlizenziert.
So konnte es die für
GPL-Code reservierten Linux-
Symbole benutzen.
Matthew schickte ein Patch
ein, um dem Schwindel ein
Ende zu bereiten. Es sorgt
dafür, dass der Kernel dem
Cloudlinux-Treiber die betreffenden
Symbole verweigert.
Außerdem nahm Greg Kroah-
Hartman mit dem Hersteller
Kontakt auf.
Schließlich meldete sich Igor
Seletskiy, CEO von Cloudlinux.
Er entschuldigte sich
und räumte ein, das Lizenzproblem
übersehen zu haben:
„Wir wollten das Modul zu
Closed Source machen und
werden das demnächst auch
tun. Offenbar hat einer unserer
Entwickler hier etwas
missverstanden und die Sache
falsch gemacht.“ Er bat
um zwei bis drei Wochen Zeit,
dann solle die GPL-Version in
Form von Source-RPMs zum
Download bereitstehen. n
Overflow bei der Kernelentwicklung
Thomas Gleixner (siehe auch
die erste Meldung) fragt sich
außerdem, wie die Kernelhacker
mit der steigenden Zahl
an eingereichten Patches fertig
werden sollen. Er selbst
delegiere schon möglichst viel
seiner Arbeit als Maintainer
an andere Entwickler, aber
es gäbe einfach nicht genug
qualifizierte und vertrauenswürdige
Mitarbeiter.
Greg Kroah-Hartman meint
dazu: „Ich habe mich auch
schon gefragt, ob uns jemand
mit miesen Patches überschwemmt,
um uns in einer
Art Denial-of-Service-Attacke
lahmzulegen.“ Thomas hält
die Patches aber nicht für eine
Attacke. Alan Cox erklärt
die Situation so: „Es gibt eine
kleine Zahl sehr großer Unternehmen,
die viel Geld auf
dem Servermarkt verdienen.
Sie haben alle bestimmte
Anforderungen und ihr Geld
treibt die Kernelentwicklung.
Das hat sowohl eine gute wie
auch ein schlechte Seite. Die
schlechte: Sie möchten, dass
der Kernel tut, was sie wollen
– jetzt sofort und ohne
längerfristige Planung. Die
gute Seite besteht darin, dass
sie Entwickler für die Arbeit
am Linux-Kernel bezahlen,
die ansonsten an etwas anderem
arbeiten würden.“ (Zack
Brown/​mhu)
n
Kernel-News 09/2012
Aktuell
www.linux-magazin.de
19
Kann eine
Schulungseinrichtung
für mehr als EINEN
Themenbereich
berühmt werden?
Das Linuxhotel ist bekannt für erstklassige Open-Source-Schulungen. In den letzten Jahren kamen Java
und andere Programmiersprachen hinzu - wie immer in Kooperation mit führenden Spezialisten, und in
abgeschiedener, konzentrierter, aber auch ziemlich verspielter Umgebung. Es ist so naheliegend, auch
Entwicklerthemen bei den OpenSource‘lern zu lernen, weil man dort schon immer sehr „unter die
Haube“ guckte und mit viel Freude intensivst arbeitet. Das weiss ein Großteil der deutschen Admins, nur
unter Entwicklern hat's sich noch nicht so ganz herumgesprochen.
Mehr siehe www.linuxhotel.de

Aktuell
www.linux-magazin.de KDE-Akademy 09/2012
20
KDE-Akademy 2012 in Estlands Hauptstadt Tallinn
Steiniger Weg
Anwenderkritik, Probleme mit mobiler Hardware und sozialen Netzen standen im Mittelpunkt des zehnten Entwicklertreffens
der KDE-Community. Dabei hat das Projekt auf seinem Weg – ganz ähnlich wie der Gastgeber
Estland – aber auch einige Erfolge vorzuweisen. Text und Fotos: Markus Feilner
© Markus Feilner
Tallinn, Estland. Nach dem finnischen
Tampere (2010) und einem Abstecher
nach Berlin im vorigen Jahr zog es die
KDE-Community Ende Juni ins Baltikum.
Das ehemalige Ostblockland ist eins der
kleinsten und jüngsten Mitglieder der
Euro-Zone und verteilt gerade mal so viel
Einwohner wie München (1,3 Millionen)
auf etwa der Fläche der Schweiz [1].
Kuriose Mischung
Neben nordischen Buchtenlandschaften,
ausgedehnten Kiefernwäldern, endlosen
Schotterpisten und schnurgeraden Highways
(Abbildung 1) findet der Besucher
allerorts zahlreiche Erbschaften aus der
langen sowjetisch-russischen Besatzungszeit
vor (Abbildung 2), während
die mittelalterliche Altstadt Tallinns von
der Hanse und der Ostkolonialisierung
des Deutschen Ordens geprägt ist. In den
Plattenbauten, die das Weltkulturerbe am
Bottnischen Meerbusen wie einen Ring
umgeben, liegt auch ein Gebäude der
Universität: Das IT-College von Tallinn
[2], in dem die Organisatoren des KDE
e.V. mehrere Räume für eine Woche belegt
hatten (Abbildung 3).
Die estnische Republik ist
so jung wie Linux
Esten nennen ihr Land gerne E-Estland,
analog zur E-Mail, und das nicht ohne
Grund. In Tallinn hat Skype seine Firmenzentrale,
im ganzen Land gibt es
freies und kostenloses WLAN, auf das
Straßenschilder und sogar Markierungen
in den Wanderkarten der Nationalparks
hinweisen.
Der gläserne Bürger ist Realität, mit einem
Chip im Pass buchen Esten Nahverkehrstickets
und erledigen Arztbesuche
oder die Steuererklärung online – der
Este vertraut seinem jungen Staat. Den
gibt es ja erst seit 1991, dank einer unblutigen
„singenden“ Revolution [3]. Da
kam die erste Keynote bei der Akademy
gerade richtig: Der schwedische Anwalt
Mathias Klang (Abbildung 5) rief die
anwesenden Entwickler auf, der „Tivoisierung“
des digitalen Alltags Einhalt zu
gebieten, mit der Anspielung auf die bei
amerikanischen TV-Nutzern verbreiteten
Festplatten-Settop-Boxen (Tivos).
Darunter versteht er aber nicht die Always-on-Mentalität,
sondern die Tatsache,
dass immer mehr Menschen das
Internet nur als ein Konglomerat aus
sozialen Webdiensten sähen, das es nur
zu bedienen, aber nicht zu verstehen
gelte. Wie Schafe ließen die Anwender
es zu, sich von Facebook, Twitter & Co.
in „eingezäunte Gärten und Datensilos“
zwängen zu lassen, aus denen es kein
Entrinnen mehr gebe. Das liegt Klang
zufolge hauptsächlich an mangelnder Offenheit
der Anbieter: Dem User bleibt es
in der Regel verborgen, was hinter den
Vorhängen geschieht.
Tivoisierung, Melkkühe und
Maschinenstürmer
„Sie geben uns Entertainment, aber in
Wahrheit sind wir die Melkkühe, an deren
Daten sie wollen“, beklagt der schwedische
Anwalt. „Aber diese Freiheit ist
wertlos ohne den darunter liegenden
Code.“ Die Digitalisierung habe da nicht
nur Vorteile gebracht, fährt er fort: „Vor
der Entwicklung des Internets hatten
wir kompatible Kommunikationsformen,
heute dominiert der Vendor-Lock-in.
Zwar sei auch das Internet offen und
frei, aber nur bis die sozialen Netzwerke
kamen. Zu den Folgen bemüht er auch
provozierende Worte: „Früher war ich ein
narzisstischer Stalker, aber heute lebe ich
das auf Facebook aus.“

KDE-Akademy 09/2012
Aktuell
Abbildung 1: Estland: Skandinavische Küstenorte, das hanseatisch-deutsch geprägte Tallinn und amerikanisch anmutende Highways.
www.linux-magazin.de
21
Das Problem gehe aber noch viel tiefer.
„Je mehr Technologie wir in unseren Alltag
lassen, umso weniger Freiheit haben
wir. Das soll keine Maschinenstürmerei
wie bei den Ludditen [4] des 19. Jahrhunderts
sein, ich halte das für die zwingende
Konsequenz einer technologischen
Entwicklung. Den nachfolgenden Generationen
bringen wir nur noch bei, wie
sie die Geräte zu bedienen haben, von
dem darunter liegenden Code erfahren
sie nichts.“ 16-Jährige, die das Internet
nur noch als Schnittstelle zu Facebook
und Twitter wahrnehmen, machen ihm
Angst, sagt Klang. Das zu ändern sei
schwierig und erfordere den Mut, den
einsamen Rufer in der Wüste zu mimen.
„Erzählt den Leuten, was der Anbieter
mit den Daten will, wie er sie manipuliert
und dass das alles in den Eulas steht!“
Meritokratie-Kritik
Mirko Böhm, aktiv bei KDE und FSFE,
präsentierte anschließend einen durchaus
kritischen Vortrag über den Zustand der
Meritokratie im KDE-Projekt (Abbildung
5). Die Umsetzung der „Regierungsform,
bei der Amtsträger nach ihrer Leistung
ausgewählt werden“[5], hatte in letzter
Zeit für Unmut unter den Anwendern
gesorgt, was auch die rege Diskussion
im Anschluss an Böhms Vortrag belegte.
Trotz „enormer Beteiligung“ (Böhm)
wenden sich enttäuschte User ab, weil
ihr Feedback nicht ankomme. Da sei von
„den Bonzen“ im KDE-Projekt und ‐Verein
die Rede, auch Forks werden offenbar
in Mailinglisten diskutiert.
Schuld daran hat auch die unterschiedliche
Wahrnehmung der Rolle von Firmen
für KDE. Enterprise-User wünschen sich
eine stärkeres Engagement von Unternehmen
und mehr Offenheit des Projekts
für Companys, die dazu bereit sind.
Mindestens genauso viele Community-
Mitglieder sehen das jedoch skeptisch.
Diesen Ängsten wollen Böhm und der
KDE e.V. mit mehr Transparenz und Offenheit
entgegentreten. Die kommende
„User working group“ soll das Feedback
und die Anliegen der Anwender besser in
Ergebnisse münden lassen.
Zwar sei KDE das „größte ausschließlich
von Freiwilligen getrieben Open-
Source-Projekt, das ohne Unternehmen
auskommt“ und es zeichne sich durch
eine „sehr erfolgreiche Geschichte aus“,
aber dennoch gesteht Böhm ein, dass
es zuletzt „Reibungsverluste“ gegeben
habe. Die Lösung sei, die Schlagworte
„Open by default, improve by default“
zu verwirklichen und den „Code of Conduct“
auch auf die User auszudehnen,
mit Garantien und Rechten.
Android-Probleme
Ähnlich markante Worte fand Aaron
Seigo anschließend in seinem Vortrag
über die Bemühungen rund um die
Plasma-Active-Tablets namens Vivaldi
und das zugehörige Portal Make.Play.
Live. Überraschenderweise ist die Software
laut dem in Zürich lebenden Kanadier
fertig, aber die Hardware macht
Probleme, vor allem wegen der Quickand-Dirty-Mentalität
der chinesischen
Hersteller. Die hatten eine neue Version
inkompatibel zu den vorherigen Treibern
gemacht, weshalb Seigo seine nächste Tablet-Generation
nicht vorführen konnte:
„Was manche Treiberentwickler rund um
den Android-Kernel bauen, ist einfach
Mist (,a mess’). Und leider ist heutzutage
der Userspace eng mit dem Kernelspace
verwoben, auch dazu sage ich jetzt lieber
nicht, was ich davon halte.“
Das Ganze sei umso ärgerlicher, als
laut Seigo bereits zahlreiche Firmen auf
Linux-Geräte mit freier Software warten,
um ihre eigenen Apps mit sicheren
Plattformen zu bauen. Aber das sei kein
Problem, meint Seigo. Schwerer gestalte
sich, verlässliche und nachhaltig denkende
Hardwarehersteller zu finden und
Entwickler mit viel Motivation und Leidensfähigkeit
zu gewinnen. „Wenn das
System läuft, macht das Entwickeln unheimlich
Spaß. Den PDF-Viewer Okular
haben wir innerhalb eines Tages zu einer
Qt-Touch-Anwendung, einem E-Book-
Reader umgebaut!“
KDE-Pim und Qt
Technischer ging es auf der Akademy
in den Tracks und Workshops um die
Abbildung 2: Auch das ist Estland: Sozialistische Plattenbauten und russische Altlasten.

Aktuell
www.linux-magazin.de KDE-Akademy 09/2012
22
Abbildung 3: Verkehrsschilder weisen den Weg zu einem der unzähligen freien Wifi-Hotspots Estlands. Die brauchen die Besucher der Akademy im großen Hörsaal des
Estonian IT-College nicht, hier gibt es zwei Ethernet-Ports und Stromanschluss an jedem Sitz. Rechts winken die Akademy-Besucher beim traditionellen Gruppenfoto.
KDE-Frameworks 5, Plasma, Wayland,
die Situation bei Nokia bezüglich Qt, aber
auch um die KDE-Pim-Implementierung
und den Akonadi-Stack zu. Zahlreichen
Problemen rund um Nepomuk, Soprano
und Virtuoso ist es zu verdanken, dass
es vier Jahre nach KDE 4.0 immer noch
kein vollständig funktionierendes Kontact
(der Groupware-Client, Abbildung 4)
gibt. Das soll sich ändern: Demnächst
kommt KDE SC 4.9 und im Herbst der
Groupware-Server Kolab 3.0 mit Server-
Side Akonadi [6]. Spätestens dann sollen
alle Probleme gelöst sein.
Positive Beispiele, Open
Science und Egoismus
Dass es aber nicht nur Probleme, sondern
auch bemerkenswerte Leistungen gebe,
auf die KDE zurückblicken kann, zeigte
Augustin Benito Bethencourt aus dem
KDE e.V. Board of Directors in seiner
Keynote. Sechs Schlagworte stünden für
vorbildliche Arbeit, meint der Entwickler
von den Kanarischen Inseln:
n Active patience: Unerschütterlicher
Glauben und Bereitschaft zu warten.
n Magister: KDE stellt das beste E-Learning-System.
n Leadership: KDE bereitet mehr und
mehr den Nährboden für ein eigenes
Ökosystem an erfolgreichen, von KDElern
gegründeten Firmen.
n Vision: Sowohl KDE auf Tablets als
auch die Edu-Plattform ziehen derzeit
jede Menge interessierte Firmen aus
der klassischen Wirtschaft an.
n Effizienz: „Das KDE-Projekt schafft
mittlerweile neue Releases in weniger
als einem Tag!“
n Experience Innovation: „Nach großen
Veränderungen können wir endlich
die coolen, innovativen Dinge angehen.
Das ist enorm wichtig, wie der
Fall Nokia, aber auch Yahoo oder die
Ängste der Apple-Anhänger nach dem
Tod von Steve Jobs zeigen. Viele Unternehmen
gingen den Bach runter, als
sie aufhörten innovativ zu sein.“
Die Sonntags-Keynote von Will Schroeder
von Kitware stand ganz im Zeichen der
Wissenschaft. Immer mehr Bereiche der
Forschung erkennen die Bedeutung und
Nützlichkeit freier Software: „Vieles ist
ohne Open-Source-Software nicht lösbar,
vom High-Performance-Computing über
das automatisierte Auswerten von CTund
MRT-Bildern bis zum Publizieren
offener Dokumente.“
Als „eine Tragödie“ bezeichnete er es,
dass man trotzdem bis heute extra das
Attribut „Open“ zum Wissenschaftsbegriff
hinzufügen müsse. Sowohl Wissenschaftler
als auch die Universitäten
erkennen mehr und mehr, dass die freie
Publikation ihrer Ergebnisse im Web
schneller, billiger und effektiver sei. Daher
gelte: „Seid egoistisch – und teilt eure
Ergebnisse!“
Prior Art als Mittel gegen
Patent-Trolle
Auf dem Schlachtfeld der Patentkriege
zeigt sich ein Silberstreif am Horizont:
Raffi Gostanian vom Open Invention
Network (OIN, Abbildung 7) rief freie
Software-Entwickler auf, ihre Ideen als
Online dokumente zu veröffentlichen, um
so Prior Art zu schaffen und unrechtmäßige
Ansprüche von Patent-Trollen
abzuwehren. Als Beispiel nannte er das
jüngste Patentverfahren rund um die langen
Dateinamen im FAT-Dateisystem, in
dem Linus Torvalds mit einem Kommentar
in einer E-Mail von 1992 als Zeuge
auftrat und damit weitreichende Ansprüche
von Microsoft verhinderte.
Abbildung 4: KDE-Anwender kennen das Problem: Kontact, Akonadi, Soprano, Virtuoso und Nepomuk verstehen
sich nicht gut, Fehlermeldungen sind an der Tagesordnung.

Tel. 0 64 32 / 91 39-749
Fax 0 64 32 / 91 39-711
vertrieb@ico.de
www.ico.de/linux
SEIT 1982
Innovative Computer • Zuckmayerstr. 15 • 65582 Diez
GmbH
GÜLTIG NUR BIS 31.08.12
Konfigurieren Sie
folgende Systeme mit
Toshiba SAS HDDs
300GB MBF230LRC SAS 148, 75*
600GB MBF260LRC SAS 297, 50*
Abbildung 5: „Freiheit ist wertlos ohne den darunter
liegenden Code. Hört nicht auf, vor Facebook,
Twitter & Co. zu warnen!“, fordert Mathias Klang.
„Das ist ein perfektes Beispiel dafür,
wieso es sich lohnt, Prior Art zu schaffen.
Das ist nicht schwer, es bedarf nur einer
Idee, einer kurzen technischen Abhandlung
und der Hilfe vom OIN.“ Die Institution
sorge dafür, die Dokumente auf
der Website IP.com zu veröffentlichen,
da diese von den Sachbearbeitern in den
Patentämtern zur Suche von Prior Art
benutzt werde. „Jeder von euch sollte das
machen, und zwar regelmäßig, und wir
helfen euch dabei!“, rief er den anwesenden
Entwicklern zu (Abbildung 7).
Awards, Workshops
Nach dem Wochenende mit Keynotes,
Vorträgen und der Verleihung der Akademy
Awards teilten sich die Besucher
am Montag auf die zahlreichen Workshops
auf. Neben PR für Open-Source-
Projekte gab es Tracks über den estnischen
Personalausweis mit integrierter
Smartcard, Qt- und Plasma-Programmierung,
Robotertechnik, Telepathy, Phonon,
die Office-Suite Calligra, Owncloud, aber
auch strategische Themen wie das von
Augusto Benito Bethencourt vorgestellte
KDE Connect, das stabile und dauerhafte
Partnerschaften mit Unternehmen
fördern will.
Blockaden überwinden
Das KDE-Projekt scheint derzeit in einer
spannenden Phase. User, Firmen, Entwickler
und Frontmänner müssen sich
zusammenraufen, auf die Erfolge blicken
und intern wie auch extern neue Formen
der Zusammenarbeit ausprobieren.
Dazu traf es sich gut in einem Land, das
Abbildung 6: Mirko Böhm zum Status der Meritokratie.
Das KDE-Projekt hat mit Kritik von Anwendern
zu kämpfen und will sich einiges einfallen lassen.
dies seit über zwanzig Jahren im Schnelldurchlauf
vorexerziert. Wer mehr Details
über die KDE-Akademy 2012 sucht, findet
sie auf der Konferenz-Webseite [7] oder
in den Blogs der Entwickler [8], jede
Menge Fotos gibt’s auf Flickr [9]. n
Infos
[1] Estland:
[http:// de. wikipedia. org/ wiki/ Estland]
[2] IT-College Tallinn:
[http:// www. itcollege. ee/ en/ it‐college/]
[3] Singende Revolution: [http:// en. wikipedia.​
org/ wiki/ Singing_Revolution# Estonia]
[4] Luddismus:
[http:// de. wikipedia. org/ wiki/ Luddismus]
[5] Meritokratie:
[http:// de. wikipedia. org/ wiki/ Meritokratie]
[6] Kolab 3 mit Server-Side Akonadi: [http://​
www. linux‐magazin. de/ NEWS/ Serverseitiges
‐Akonadi‐Kolab‐3‐kommt‐im‐ Herbst]
[7] KDE-Akademy: [https:// akademy. kde. org]
[8] KDE-Blogs: [http:// blogs. kde. org]
[9] Akademy-Bilder: [http:// www. flickr. com/​
groups/ akademy2012/]
Abbildung 7: Raffi Gostanian vom Open Invention
Network hilft Entwicklern, die sich gegen Patentansprüche
wappnen wollen.
BALIOS R15B 1HE SERVER
4 HDD SLOTS
• Chenbro Chassis RM13204M2 mit 300W PSU
• Intel ® Xeon ® E3-1220v2 3,10GHz Prozessor
• Intel ® Servermainboard S1200BTLR
• 2x 8GB DDR3 RAM, Adaptec 6405E RC
inkl. Mwst. ab
exkl. Mwst. ab
1403, 01 1179,-
Art.Nr. ybto06
XANTHOS R15A 1HE SERVER
4 HDD SLOTS
• Chenbro Chassis RM13204M2 mit 400W PSU
• 2x Intel ® Xeon ® E5-2620 2,0 GHz Prozessor
• Intel ® Servermainboard S2600CP2
• 8x 4GB DDR3 RAM, LSI 9260CV-4i RC
inkl. Mwst. ab
exkl. Mwst. ab
3069, 01 2579,-
Art.Nr. ybto14
XANTHOS R25B 2HE SERVER
6 HDD SLOTS
• Chenbro Chassis RM21706M2-L mit 500W PSU
• 2x Intel ® Xeon ® E5-2620 2,0 GHz Prozessor
• Intel ® Servermainboard S2600CP2
• 8x 4GB DDR3 RAM, LSI 9260CV-8i RC
inkl. Mwst. ab
exkl. Mwst. ab
3320, 10 2790,-
Art.Nr. ybto19
Intel ® , Intel ® Logo, Intel ® Inside, Intel ® Inside Logo, Atom, Atom Inside,
Xeon und Xeon Inside sind Marken der Intel Corporation in den USA und anderen
Ländern. Alle Preise in Euro. * Festplattenpreise = Brutto Stückpreise
Nur solange Vorrat reicht.
wir liefern auch
nach Österreich
u. in die Schweiz

Titelthema
www.linux-magazin.de Grundlagen 09/2012
24
Bring your own Device fordert IT-Abteilung heraus
Problematische ...
... Mitbringsel: Mit dem Siegeszug privater Tablets und Smartphones fällt der ei ser ne Vorhang zwischen Firmenund
Privat-Computern. Das Linux-Magazin stellt sich an die Seite der vom „Bring your own Device“-Virus gebeutelten
IT-Abteilungen und stellt Strate gien vor, die das Unvermeidliche erträglich machen. Ralf Spenneberg, Markus Feilner
Weiterer Inhalt
28 Zugang absichern
Klingt genial: Endgeräten, die bestimmten
Anfor de rungen nicht genügen, den
Zutritt zur Firmen-IT zu sperren.
32 Mobilgeräte als Thin Clients
Warum das Server-based Computing mit
mobilen Geräten die bessere Wahl ist.
36 Mobile Device Management
Das Übel an der Wurzel packen: Zentrale
Management-Suiten für Mobilgeräte.
40 Android absichern
Viren- und Datenschutz für Linux-Geräte?
Android macht's nötig, zahlreiche
Hersteller möglich.
BYOD – Bring your own Device! [1]. Jeder
Mitarbeiter würde diese Aufforderung
für Drucker oder die Kaffeemaschine als
Zumutung empfinden. Bei privaten Tablets
oder Smartphones dagegen fordern
viele Angestellte von ihrer Firma regelrecht,
diese benutzen zu können. Oft ausgehend
vom iPad-besitzenden Geschäftsführer
geben immer mehr Unternehmen
dem Druck nach.
Endgeräte zur Arbeit mitzubringen oder
von zu Hause aus auf Firmendaten zuzugreifen,
diese zu speichern und zu verarbeiten,
galt IT-Verantwortlichen noch
vor zwei, drei Jahren als inakzeptables
Sicherheitsrisiko. Heute gehört es zum
Alltag in modernen Unternehmen. Die
Artikel im Titelschwerpunkt dieses Linux-Magazins
zeigen, welche Gefahren
auf den Admin zukommen und wie er die
Firmen-IT gegen die als Hölle verschrienen
BYOD-Szenarien wappnen kann.
Geld gespart?
Für wirtschaftlich denkende Unternehmer
ist es zunächst sehr verlockend: Wer
den Privatgeräten der Mitarbeiter Zugang
gewährt, spart Anschaffungskosten. Der
Mitarbeiter ist meist zusätzlich motiviert,
sich auch in seiner Freizeit mit den Daten
zu beschäftigen und erreichbar zu sein.
Nicht selten berichten Admins auch davon,
dass Supportaufwände sinken, weil
die Heimarbeiter „abends so lange probiert
haben, bis es endlich geklappt hat“,
wo sie früher einfach ein Trouble Ticket
aufmachten. Und nicht zuletzt behandelt
ein Anwender sein eigenes Gerät sicherlich
pfleglicher als ein möglicherweise
ungeliebtes, von der Firma zur Verfügung
gestelltes Device.
Deutsche Nachzügler, junge
Anarchisten
Regionale Unterschiede offenbart dabei
eine Umfrage von Aruba Networks [2]:
In Europa, dem Mittleren Osten und
Asien (EMEA) gestatten bereits 69 Prozent
aller Unternehmen die Nutzung privater
Endgeräte in Büro und Werkstatt.
Deutsche Firmen (48 Prozent) zieren sich
laut Umfrage deutlich mehr.
In einer ähnlichen Erhebung hat Fortinet
die erste Generation der BYOD-Anwender
(im Alter von 20 bis 29 Jahren) befragt
[3]. Dabei kam Erschreckendes zu Tage:
Mehr als 30 Prozent der Anwender missachten
und verletzen Unternehmensrichtlinien
wissentlich, um ihre Privatgeräte
beruflich oder in einer beruflichen
Umgebung zu nutzen.
Hoch im Kurs steht dabei der ständige
Zugang zu den großen sozialen Netzwerken.
Speziell in Deutschland sehen
sogar fast 60 Prozent der befragten 3800
Mitarbeiter es als ihr gutes Recht an, mit
ihrem privaten Gerät die Infrastruktur
des Unternehmens zu nutzen. Zwei Drittel
verwehren jedoch im selben Atemzug
der Firma jeglichen Zugang zu ihrem
privaten Endgerät. Ein effektiver Schutz
potenzieller Unternehmensdaten auf den

Quelle: IBM Corporation
Mobiles
Endgerät
Privat
Dienstlich
Nutzung
Privat
Wird nicht
betrachtet
Eingeschränkte
Kontrolle
mobilen Geräten lässt sich damit nicht
zentral umsetzen (Abbildung 1).
Gartner [4] hat sich außer in Industrieländern
auch in den BRIC-Nationen
umgehört (Brasilien, Russland, Indien,
China) und dabei den größten Trend zu
BYOD bei der Generation Y festgestellt,
der Gruppe der heute 30-Jährigen, häufig
auch als Millenials bezeichnet. Die sehen
vor allem die Möglichkeiten mobiler Geräte
sehr positiv und eher durch technische
Probleme eingeschränkt, während
in den USA und Europa vor allem rechtliche
und organisatorische Probleme im
Vordergrund stehen.
Privates Surfen muss kein
Zeitfresser sein
Auf den ersten Blick scheint das Benutzen
privater Endgeräte in Unternehmen
– auch ohne jede Vernetzung mit der
Firmen-IT – ein potenzieller Produktivitätskiller.
Die Teilnahme an sozialen
Netzwerken mit mehr oder weniger ständiger
Kommunikation kostet Arbeitszeit,
die sich doch viel besser produktiv für
das Unternehmen nutzen ließe, sollte
man meinen.
Dem widerspricht jedoch eine Studie
der Universität Melbourne [5], die das
„Workplace Internet Leisure Browsing“
(WILB, also das private Surfen am Arbeitsplatz)
als sehr produktiv bezeichnet
und eine ansteigende Konzentrationsfähigkeit
nachweist. Personen, die bis zu
20 Prozent ihrer Zeit mit WILB verbringen,
sind bis zu 9 Prozent produktiver als
andere Personen.
Die Trennung ist schwer
Dienstlich
Fast keine
Kontrolle
Beste Kontrolle
Abbildung 1: Eigentlich der Horror für jeden sicherheitsbewussten Admin:
Auf die privaten Geräte seiner Mitarbeiter hat er keinen Zugriff, aber er soll
ihnen den Zugriff auf die Ressourcen des Unternehmens gewähren.
Außerdem ist die Trennung zwischen
privater und geschäftlicher Nutzung
nicht immer ganz einfach. Die Alwayson-Generation
nutzt
Facebook, E-Mail, Foren
und Chats sowohl
beruflich als auch
privat. Reiseportale
dienen zur Buchung
von Urlaubs- und Geschäftsreisen,
VoIP-
Dienste sowohl für
private wie auch geschäftliche
Telefonate,
ebenso Kalender- oder
Filesharing-Dienste wie Dropbox oder
Googles Kalender (Abbildung 2).
Eine BYOD-Checkliste für
den Admin
Ob der sicherheitsbewusste Admin das
gut findet, steht gar nicht zur Debatte.
Wer den Wünschen seiner Mitarbeiter
(mittlerweile reicht das BYOD-Verlangen
weit über Vertrieb, Marketing und die
Chefetagen hinaus) auf verantwortungsvolle
Weise entsprechen will, steht vor
einigen Fragen, die teilweise recht umfangreiche
Überlegungen und Maßnahmen
notwendig machen:
n Ist es dem Anwender erlaubt, Firmendaten
auf dem mobilen Gerät zu speichern?
Ist dabei der Einsatz einer Verschlüsselungstechnologie
notwendig?
n Was passiert beim Verlust des Smartphones?
Was bei einer Reparatur?
n Wie soll der Zugriff auf die Server erfolgen
(Apps, Browser, Remote Desktop)?
n Welche mobilen Geräte will die Firmen-IT
unterstützen?
n Welche Strategien für die Absicherung
der Infrastruktur sind notwendig
(Malware-Schutz auf den mobilen
Geräten, Passwortspeicherung, erweiterte
Absicherung wie etwa One-Time-
Passwörter)?
Ein Patentrezept für alle Szenarien gibt
es nicht, häufig sind Kombinationen aus
den möglichen, in den Artikeln dieser
Titelstrecke beschriebenen Lösungsansätzen
notwendig.
Viele der Strategien erinnern an die Integration
privater Notebooks in die Firmen-IT,
doch machen die Eigenheiten der
mobilen Betriebssysteme bisweilen auch
völlig neue Ansätze notwendig, weil sich
das private Gerät dem Zugriff des Sicherheitsbeauftragten
entzieht.
5 TAGE | NÜRNBERG | DÜSSELDORF
ICINGA ADVANCED
3 TAGE | KÖLN
4 TAGE | NÜRNBERG | DÜSSELDORF
3 TAGE | NÜRNBERG | ZÜRICH
OPENNEBULA
OPEN SOURCE CLOUD SOLUTION
2 TAGE | NÜRNBERG
2 TAGE | NÜRNBERG

Titelthema
www.linux-magazin.de Grundlagen 09/2012
26
Quelle: IBM Corporation
Privat
E-Mail
Kalender
Apps
Kontakte
Musik
Webseiten
Spiele
(z.B.: Facebook, Google+, Reiseportale)
Filme
VoIP-Telefonie
Fotos
Onlinebanking
Modding, Jailbreak, Rooting
(...)
Ist es den Mitarbeitern gestattet, Unternehmensdaten
auf privaten Geräten zu
speichern, so besteht bei Verlust oder
Diebstahl ein ähnliches Problem wie bei
Laptops oder Telefonen, die das Unternehmen
zur Verfügung stellt: Nur wer die
Geräte durch eine komplette Verschlüsselung
ihres Datenspeichers schützen kann,
beugt dem Missbrauch der Daten vor.
Allerdings hat das bei einem Firmengerät
letzten Endes der Admin selbst in der
Hand, zumindest wenn er dem Mitarbeiter
keinen Rootzugriff gewährt.
Verschlüsselung und
Remote Wipe
Dazu kommt: Wer heute das Angebot
an Endgeräten mit Blick auf eingebaute
Verschlüsselung durchforstet, wird nur
selten fündig. Lediglich das abgekündigte
Symbian, RIMs Blackberrys, I-OS
und Android (beide ab Version 4) können
damit aufwarten. Speziell Apple hat sich
aber dabei bereits einige haarsträubende
Patzer erlaubt [6], und nach einem Jailbreak
ist ein Knacken der PIN und damit
die Entschlüsselung für einen Angreifer
leicht zu bewerkstelligen.
Ähnliche Probleme entstehen auch, wenn
der Mitarbeiter sein Recht wahrnehmen
will, das private Gerät weiterzugeben, zu
verschenken oder zu verkaufen, weil der
nächste Besitzer (oder Anwender) dann
unter Umständen die Daten der Firma
auslesen kann.
Geschäftlich
CRM
ERP
DMS
Konferenzsoftware
Reporting und Analysen
Alerting und Monitoring
Groupware
(...)
Abbildung 2: Private und geschäftliche Aktivitäten in modernen Berufen überschneiden sich nicht nur,
sondern es ist in vielen Fällen schlicht unmöglich, sie voneinander zu trennen, etwa wenn der Mitarbeiter mit
seinem privaten Facebook-Account Firmenkunden betreut.
Selbst die von vielen Herstellern passender
Remote-Wartungssoftware beworbene
Funktion der Fernlöschung (Remote
Wipe) ist nicht ausreichend, um die Daten
sinnvoll zu schützen. In der Regel
muss der neue Benutzer (Dieb, Finder ...)
lediglich die SIM-Karte entfernen – und
schon kommt die SMS mit dem Löschbefehl
nicht mehr an. Noch bessere Karten
hat ein Dieb, wenn das Smartphone noch
läuft und der Anwender sträflicherweise
kein oder nur ein unsicheres Passwort
oder eine allzu simple Geste gesetzt hat.
Handy defekt? Vorsicht!
Auch das Einsenden eines defekten Geräts
im Reklamationsfall mag hier ein
Problem darstellen. In funktionsuntüchtigen
Geräten lassen sich die Daten vorher
nicht löschen. Da hilft tatsächlich nur
eine Verschlüsselung aller Daten mit einer
geheimen Passphrase, die der Anwender
bei jedem Start des Geräts eingeben
muss – für viele Mitarbeiter eine umständliche
und unbeliebte Erschwernis,
die sicherlich auch mit den Erwartungen
der Anwender kollidiert – zumindest den
60 Prozent, die keine Firmensoftware auf
dem Handy wollen.
Ein weiteres Problem ist das Wiederherstellen
bei Verlust oder Defekt. Speichert
der Anwender bestimmte Daten nur auf
seinem eigenen Endgerät, sind diese bei
einem Hardware-Ausfall verloren. Er ist
selbst für die Sicherung der Daten verantwortlich,
die aber nicht überall ohne
Weiteres möglich ist. Android erlaubt beispielsweise
erst ab Version 4 eine Komplettsicherung
aller Daten.
Geräte-Zoo und Tethering
Überhaupt erschwert der Zoo an Geräten
die Wahl eines sinnvollen Weges. Mit
BYOD nutzen Anwender beliebige Geräte
bei unterschiedlichstem Softwarestand
und Patchlevel – nicht ganz freiwillig
zwar, aber doch unvermeidbar [6].
Ob Android 2.3, 4.0, 4.03 oder 4.1: Alle
funktionieren unterschiedlich und benötigen
möglicherweise spezifische Anpassungen,
wenn eine native Unterstützung
durch lokale Apps gewünscht ist.
Ganz andere Probleme treten auf, wenn
der Mitarbeiter sein Smartphone ohne
Wissen der IT-Administration in den
Tethering-Modus versetzt und seinen
UMTS-Zugang als WLAN-Accesspoint
bereitstellt (Abbildung 3). Viele Anwender
nutzen diese Funktion, um ihre
Smartphone-Datenflat auch am Laptop
zu nutzen.
Beim Firewall-Administrator sorgt diese
Vorstellung für blankes Entsetzen: Nun
können weitere Systeme des Unternehmens
direkt aufs Web zugreifen, ohne
dass die teure und gut gepflegte Firmen-
Firewall schützend eingreift. Auch die
zentralen IPS- und Antimalware-Systeme
sind hier blind.
Goldene Mitte: Die Firma
sponsert die Hardware
Normalerweise stellen Unternehmen den
Mitarbeitern notwendige Betriebsmittel
kostenfrei zur Verfügung. Doch BYOD
kehrt dies um, der Mitarbeiter stellt das
Betriebsmittel dem Unternehmen zur
Verfügung. Manche Unternehmen bezuschussen
sogar die Geräte, IBM testet in
einigen Ländern ein „Geld statt Device“-
Modell für Smartphones, Tablets und
Notebooks.
In solchen Fällen muss der Mitarbeiter
aufpassen und gegebenenfalls seinen
Steuerberater konsultieren (Stichwort:
geldwerter Vorteil). Und bei einem Verlust
oder Schaden ist auch nur er in der
Verantwortung. Er hat sich um Wartung
und Reparatur zu kümmern und für ein
eventuell notwendiges Leihgerät während

einer Reparatur zu sorgen. Die Lösung
für viele dieser Fragen wäre: BYOD verbieten
– nur dies gegen den Widerstand
der Mitarbeiter und der Geschäftsleitung
durchzusetzen wird der IT-Abteilung
nicht gelingen.
Grundlagen 09/2012
Titelthema
BYOD lässt sich nicht mehr
verbieten
Eher wahrscheinlich scheint, dass sich
auf dem derzeit boomenden Markt der
Software-Anbieter für das BYOD-Problem
Lösungen für jede Kragenweite finden.
Das reicht vom zentralen Management
über die lokale Malware Protection bis
hin zu ausgefuchsten Zugriffsbeschränkungen
und Identifikationsmodellen. Zu
jedem dieser Themen findet sich ein Artikel
auf den folgenden Seiten.
Einen beachtlichen Teil der Probleme
verursacht das Speichern von Unternehmensdaten
auf den privaten Geräten. Wer
darauf verzichten kann oder will, setzt auf
Web-basierte oder Remote-Desktop-Verfahren
(siehe Artikel in diesem Schwerpunkt).
Erfolgt der Zugriff mit Hilfe von
Browsern und Webapplikationen, werden
die Daten vielleicht noch lokal gecacht,
aber nicht dauerhaft gespeichert. Als positiven
Nebeneffekt gibt es eine identische
Benutzerschnittstelle für alle Anwender,
unabhängig vom Device.
Web-basierte Ansätze sind
zukunftssicher
Der Markt für BYOD-Sicherheitslösungen
wird in den nächsten Jahren stark expandieren.
Rechtlich und organisatorisch
wird es dabei immer ein Problem bleiben,
die privaten Endgeräte der Mitarbeiter
ausreichend zu kontrollieren und
zu überwachen. Der allgemeine Tenor
der Empfehlungen für größere Unternehmen
lautet daher: „Unterstützen Sie nicht
BYOD, sondern schaffen Sie die Geräte
für Ihre Mitarbeiter selbst an. Das Risiko
ist die Ersparnis von einigen Hundert
Euro je Mitarbeiter nicht Wert“, wie es
Branchengrößen (hier IBM) empfehlen.
Das jedoch ist bei den Mitarbeitern nicht
sonderlich beliebt.
Gartner geht davon aus, dass BYOD ein
nicht abwendbarer Trend ist und die Unternehmen
ihn in Zukunft unterstützen
müssen [4]. Hierbei sind ein frühzeitiger
Abbildung 3: Das Smartphone dient als Einfallstor für Viren, Malware und Angreifer. Wenn der unvorsichtige
Mitarbeiter es als UMTS-Hotspot nutzt und seinen Laptop oder die seiner Kollegen darüber mit dem Internet
verbindet, sind alle Schutzmechanismen der IT-Abteilung ausgehebelt.
Wechsel auf Web-basierte Schnittstellen
und eine Desktop-Virtualisierung vorteilhaft.
Doch nicht für alle Einsatzzwecke
eignen sich die Browser-Frontends. Wer
alte, vielleicht von lokalen Dienstleistern
entwickelte Branchensoftware im Einsatz
hat, kann ein Lied davon singen. Das
größte Potenzial für eine dauerhafte Lösung
hat sicherlich der Umstieg auf Webbasierte
Lösungen.
Anlass zur Hoffnung bietet auch eine
weitere Entwicklung, nämlich die Konsolidierung
der typischen BYOD-Geräte.
Aktuell wünschen die meisten Anwender
lediglich Android- oder I-OS-basierte
Geräte. Symbian, Blackberry und Web
OS haben ihre Popularität eingebüßt, ob
Windows 8, Firefox OS [9], Tizen [10],
Plasma Active [11] oder Jolla [12] in
die Lücke stoßen, ist nicht ausgemacht.
Windows 8 kann immerhin erstmals das
Gerät komplett verschlüsseln, sodass der
Datenschützer ruhiger schlafen kann. n
Infos
[1] BYOD: [http:// de. wikipedia. org/ wiki/​BYOD]
[2] Umfrage von Aruba Networks:
[http:// www. funkschau. de/​
mobile‐solutions/ know‐how/ article/ 89263/​
0/ Aruba_Networks_EMEA_setzt_auf_
BYOD_‐_trotz_Sicherheitsbedenken/]
[3] Umfrage von Fortinet: [http:// www.​
computerwoche. de/ security/ 2516677/]
[4] Gartner-Studie [http:// www. gartner. com/​
it/ page. jsp? id=2048617]
[5] WILB-Umfrage der Universität Melbourne:
[http://archive.uninews.unimelb.edu.au/
view-58003.html]
[6] iPhone-Verschlüsselung gehackt:
[http:// www. heise. de/ ix/ meldung/ Hacker
‐iPhone‐Verschluesselung‐ist‐ein
‐Placebo‐7531. html],
[http:// www. heise. de/ security/ meldung/ Lu
ecke‐in‐Datenverschluesselung‐des
‐iPhones‐1007818. html]
[7] iPhone-Sperre nutzlos: [http:// www. heise.​
de/ security/ meldung/ iPhone‐Sperre
‐nahezu‐nutzlos‐1270786. html]
[8] Ulrich Bantle, „Rauf zum Gipfel“:
Linux-Magazin 02/​12, S. 48
[9] Firefox OS: [https://wiki.mozilla.org/B2G]
[10] Meego-Nachfolger Tizen:
[http:// www. linux‐magazin. de/ NEWS/ Aus
‐fuer‐Meego‐der‐Nachfolger‐heisst‐Tizen]
[11] Jan Kleinert, „Nette Geste“:
Linux-Magazin 10/​11, S. 66
[12] Jolla: [http:// www. linux‐magazin. de/​
NEWS/ Ex‐Nokia‐Mitarbeiter‐starten
‐Meego‐Firma‐Jolla]
Der Autor
Ralf Spenneberg arbeitet als
freier Unix/​Linux-Trainer, Berater
und Autor. Mit seinem
Unternehmen Open Source
Training Ralf Spenneberg
führt er Schulungen und Beratungen
durch. Vor wenigen Wochen erschien
sein neues Buch „KVM für die Server-Virtualisierung“,
das er gemeinsam mit Michael Kofler
verfasst hat.
© drubig-photo, Fotolia
www.linux-magazin.de
27

Titelthema
www.linux-magazin.de Zugangsschutz 09/2012
28
BYOD – Schutz beim Zugang zum internen Netzwerk
Einlass nach Maßgabe
Endgeräten und Benutzern, die feingranular konfigurierbaren Anforderungen nicht genügen, den Zutritt zur
Firmen-IT ganz oder teilweise zu sperren, klingt nach einer genialen Lösung. Außerdem entzieht sie sich den
Widrigkeiten des rasanten Gerätemarkts. Martin Kuppinger, Jan Kleinert
© Joernemann, photocase.com
Bring Your Own Device ist keineswegs
nur ein Thema von neuen mobilen Endgeräten.
Es umfasst alle Systeme, die das
Unternehmen nicht beschafft hat und
die nicht vollständig der Kontrolle der
Unternehmens-IT unterstehen. Es geht
also nicht nur um Smartphones und Tablets,
sondern auch um die Notebooks
von externen Mitarbeitern oder Wirtschaftsprüfern
und um die Desktop-PCs,
die Mitarbeitern für die Arbeit im Home-
Office nutzen.
Die Herausforderung wächst einerseits
mit der Zahl und Vielfalt von Geräten.
Andererseits verhalten sich Mitarbeiter
auch mobiler, sodass sich die Nutzungsformen
von IT-Systemen verändern. Der
Spagat zwischen der Forderung von Mitarbeitern
auf allen Ebenen, neuartige
Endgeräte zu verwenden, auf der einen
Seite und dem Interesse des Unternehmens,
die Sicherheit von Informationen,
Systemen und Netzwerken zu gewährleisten,
ist ein schwieriger.
Während das Mobile Device Management
versucht, die Engeräte sicher(er) zu gestalten
und damit ein sich schnell bewegendes
Ziel zu treffen, beschreibt der
folgende Artikel gewissermaßen den gegenteiligen
Ansatz. Der betrachtet mitgebrachte
Geräte als potenziell unsicher
und trägt diesem Umstand beim Zugang
zur Unternehmens-IT Rechnung. Es
spricht einiges dafür, beim Schutz von
Informationen sich strategisch dem Wettlauf
– und Hinterherlaufen – mit den
Geräteanbietern und deren hoher Innovationsgeschwindigkeit
zu entziehen.
Der BYOD-Besitzer sieht sich damit einer
Zugriffsrechte-Beschränkung gegen über,
die passend zu seinen Aufgaben und passend
zu Art und Sicherheitsniveau sei nes
persönlichen Geräts unterschiedliche
Teile der Unternehmens-IT zugänglich
macht oder sperrt. Je nach Rolle reicht
das von einem völligen Ausschluss mit
Ausnahme des Internetzugriffs (Gast)
über Intranet und Mail (Mitarbeiter) bis
hin zu Businessapplikationen mit unternehmenskritischen
Daten (oberes Management
mit Geräten, die der Kontrolle
der Unternehmens-IT unterliegen).
Die Firma muss dafür zu allererst ein
durchgängiges und flexibel handhabbares
Identity-Management betreiben, in
der Regel fußt es auf einem Verzeichnisdienst
wie Active Directory, LDAP oder
E-Directory. Ein Provisionierungsmodul
erteilt Benutzern automatisch und aufgrund
ihrer jeweiligen Rolle in der Organisation
individuelle Berechtigungen. Zur
BYOD-Lösung fehlt „nur noch“ die logische
Verbindung zwischen nachgefragten
Zugangspunkten, meist Ethernet, WLAN
und VPN, und deren Zugangskontrolle.
Mobiles IAM –
ein hoher Anspruch
Praktisch betrachtet kommen hier Produkte
von Cisco ([1], Abbildung 1),
Aruba Networks [2] oder Enterasys Networks
[3] ins Spiel, die versuchen, den
Schutz auf der Ebene des Netzwerks zu
realisieren. Letztes beleuchtet und bewertet
dieser Artikel beispielhaft, da es
für diese Art Produkte recht typisch und
einigermaßen preisgünstig ist.
Enterasys, ein Unternehmen von Siemens
Enterprise Communications, kategorisiert
seine BYOD-Appliance als „Mobile IAM“
– ein sehr hoch gesteckt Anspruch. Denn
ein „Identity und Access Management“
umfasst alle Funktionen zum Verwalten
von Identitäten und Zugriffsberechtigungen.
Dazu gehören Verzeichnisdienste,
die Provisionierung auf andere Systeme

www.linux-magazin.de
© Cisco
Zugangsschutz 09/2012
Titelthema
29
Abbildung 1: Cisco Identity Services Engine (ISE 1.1MR) ist ähnlich wie das Enterasys-Produkt eine kontextsensitive Identitätsplattform, die in Echtzeit Informationen
vom Netzwerk, Benutzern und Geräten sammelt. Anhand derer fallen Verwaltungsentscheidungen für die gesamte Infrastruktur.
und Directories (Änderungen verteilen),
der Schutz vor dem Missbrauch durch
privilegierte Benutzer, Single Sign-On
und ein dynamisches, granulares Autorisierungsmanagement
beispielsweise auf
Basis des Standards XACML („Extensible
Access Control Markup Language“ für
Autorisierungs-Policies).
Attribute als Grundlage
Geliefert bekommt der Enterasys-Kunde
in erster Linie eine Art kontext-sensitives
Autorisierungssystem, das für IAM-Verhältnisse
recht grobkörnig arbeitet. Es
trifft Entscheidungen darüber, ob und
worauf der Benutzer Zugriff erhält, anhand
von Informationen über das Device
(agentenlos) und über den Benutzer. Weitere
Einflussfaktoren – Enterasys nennt sie
Attribute – sind der Ort des Endgeräts sowie
der Zugangspunkt (WLAN, Ethernet,
VPN), die Zeit, Informationen über den
„System Health Status“, also den korrekten
und sicheren Konfigurationszustand,
oder Rolleninformationen.
Diese Attribute – es sind bis zu 50 –
bezieht die Software von verschiedenen
Quellen: Dem Gerät selbst, LDAP-
Servern, vorhandenene „Next Generation
Firewalls“ (NGFW) von Palo Alto
Systems oder durch die Integration mit
MDM-Lösungen verschiedener Anbieter
(Mobile Device Management, siehe
MDM-Artikel hier im Schwerpunkt). Der
im System enthaltene Radius-Server entscheidet
auf dieser Basis und mit einem
gut per GUI definierbare Regelwerk über
den Netzwerkzugang von Geräten, auch
bezüglich der Bandbreite, die das Device
zur Verfügung gestellt bekommt. Aber
schon um Einschränkungen auch auf Anwendungsebene
zu realisieren, bedarf es
einer NGFW-Lösung von Palo Alto.
Letztlich ist der Ansatz ein Konzept der
Perimeter-Sicherheit, also für den Schutz
beim Zugang von außen in ein geschütztes
Netzwerk. Eine wirklich granulare
Steuerung von Zugriffen, die pro Anwendung
im Detail entscheidet, bei welchen
Kontextinformationen welche Zugriffe
durch wen zulässig sind, fehlt jedoch.
Damit ließe sich beispielsweise entscheiden,
dass bestimmte Finanztransaktionen
in SAP-Systemen nur mit sicheren
Geräten und von sicheren Standorten aus
erlaubt sind. Ebenso fehlt ein Ansatz, der
steuert, welche Dokumente – basierend
auf einer Klassifizierung oder anderen
Kriterien – überhaupt an mobile Endgeräte
weitergegeben werden dürfen.
Es gibt aber durchaus auch ein paar interessante
Funktionen. So übernimmt
Enterasys auf Wunsch Benutzer aus
bestehenden Verzeichnisdiensten und
authentifiziert sie über Radius. Die Software
kooperiert zudem mit diversen im
Ausbildungssektor gängigen Registrierungsdiensten
und hat eine Webauthentifizierung,
Schnittstellen zu Kerberos und
anderen Protokollen.
Kann ein Schutz per
Netzwerk funktionieren?
Stellt sich nun die Frage ob eine über
Richtlinien gesteuerte Perimeter-Sicherheit
wie die Enterasys dazu taugt, die
BYOD-Problematik im Großen und Ganzen
zu lösen. Zum einen existiert der
Perimeter dieser Lesart heute nicht mehr
vollumfänglich. Gerade betrieblich genutzte
Clouddienste oder externe Mailserver
höhlen das Schutzkonzept für autonome
Geräte aus. Immer öfter lässt es
überhaupt nichts mehr definieren.
Eine Schutzebene realisiert der Admin,
indem er den Datenverkehr zwingt,
über das Mobile-IAM-Gerät zu laufen,
beispielsweise weil die Zugangskontrolle
es verlangt. Wohl deshalb tauchen unter
den Erfolgsbeispielen des Herstellers der
Healthcare-Bereich (US-Kliniken) und
die Lehre (Universitäten) besonders oft
auf. Deren Infrastruktur muss tatsächlich
viele Connects wechselnder Endgeräte
bewältigen, im Gegenzug sind die an-
Enterasys Mobile IAM
Hersteller: Enterasys Networks [3]
Lieferumfang: Hardware- oder Software-
Appliance,
Software: Linux-basiert (Quellcode laut Hersteller
frei), Radius, Konnektoren zu gängigen
Verzeichnisdiensten, grafische Adminoberfläche,
die zudem in einer Tabelle alle konnektierten
Geräte und deren Status anzeigt.
Preise: Kleinste Variante 21 000 US-Dollar als
virtuelle ESX-Appliance für 3000 Endgeräte
(Zählung über 24 Stunden, erfasst auch abgewiesene
Geräte von Passanten). 24 000 Dollar
als Hardware-Appliance. Produkt ab dem
zweiten Halbjahr 2012 lieferbar.
Support: Jährliche Maintenance kostet 20
Pro zent des Kaufpreises. Professional Services
ab 22 000 US-Dollar. Aufwandsunabhängige
Pauschalen für alle Anpassungsarbeiten
an die vorhandene Infrastruktur.

Titelthema
www.linux-magazin.de Zugangsschutz 09/2012
30
Abbildung 2: Die Eckpunkte von Mobile IAM im Vergleich zu denen gängiger MSM-Lösungen.
gebotenen Dienste nicht sehr zahlreich
und simpel (zu kontrollieren). In der IT-
Struktur der meisten Unternehmen sieht
das aber komplett anders aus, sodass
es fraglich ist, ob man die wirklich kritischen
Herausforderungen damit abgedeckt
bekommt.
Das bewusste Abgrenzen vom Mobile
Device Management ist beim Mobile-IAM-
Ansatz Konzept (siehe Abbildung 2),
lässt den Endgeräten aber auch Raum für
destruktives Verhalten. Schädliche („Ma-
© Enterasys Networks
licious“) Apps interessiert Enterasys
nicht, weil das Device konzeptbedingt
nicht im Fokus ist und die Kommunikation
zwischen dem Gerät und solchen
Apps erstmal keinen Berührungspunkt
mit dem Unternehmensnetzwerk hat –
erst wenn Angriffe vom Endgerät auf das
Netzwerk ausgehen, kann ein vorhandenes
Intrusion Detection System dies merken
und als Attribut in Mobile IAM Eingang
finden. Ob und wie eventuell auf
den mobilen Endgeräten gespeicherte unternehmensnahe
Informationen zu schützen
sind, bleibt auch außen vor.
Es bleiben Lücken
Wer die Realität mit den Marketing-Versprechungen
vergleicht, entdeckt klaffende
Lücken. Das betrifft sowohl das
Thema „BYOD Done Right“ – das hat sich
Enterasys Networks sogar als Handelsmarke
gesichert – als auch das Thema
IAM. Beides bedingt ein funktionierendes
Identity Management, dessen Anbindung
aber, von der Authentifizierung abgesehen,
eher dürftig ausfällt.
Das heißt nicht, dass Enterasys Mobile
IAM keinerlei Sinn ergibt. In manchen
Szenarien – die vergleichsweise offenen
Netzwerken in der Lehre gehören dazu
– reicht das Schutzkonzept aus. Auch
in Unternehmen, die wesentliche IT-
Funktionen noch on-premise abwickeln,
oder für den Zugriff auf weniger sensitive
Bereiche von Unternehmensnetzwerken
lohnt es, das Angebot von Enterasys zu
prüfen. In allen anderen Fällen dagegen
werden Zutrittskontrollen dieser Art dem
BYOD-Problem nicht gerecht – und IAM-
Anforderungen sowieso nur zum Teil.
Ein Mix als Ausweg
BYOD bleibt selbst nach ausführlicher
Betrachtung ein komplexes Thema. Die
Mogelpackungen mit BYOD
Auch wenn Anbieter wie Cisco, Aruba oder Enterasys
nicht jede beworbene Eigenschaft ihrer
BYOD-Produkte umfassend und zur allseitigen
Zufriedenheit implementiert haben, bekommen
Kunden doch etwas in Haus gestellt, das einen
mehr oder minder schützenden Schirm über die
gesamte Firmen-IT breitet. Der Leidensdruck
vieler Anwender einerseits und der Hype um
das Thema problematische Mitbringsel andererseits,
ruft offenbar auch das Marketing von
Anbieterfirmen auf den Plan, über dessen Lauterkeit
Zweifel berechtigt sind. Die kleben auf
den kleinsten Zugriffsschutz das Pickerl „Löst
Ihr BYOD-Problem“.
Ein Beispiel aus einer Pressemitteilung: „Der
Freiburger Softwarehersteller United Planet hat
eine neue Softwarelösung veröffentlicht, die
den IT-Verantwortlichen eine strukturierte Vorgehensweise
beim Thema BYOD ermöglicht. […]
Anhand der Angaben zu Hersteller, Modell, Betriebssystem
und Version wird sofort eine Sicherheitseinstufung
angezeigt. Nach Wahl der
ge wünschten Dienste […] erhält der Mitarbeiter
ein Dokument zu Sicherheit und Datenschutz
an gezeigt, das er lesen und bestätigen muss.
Sollte das Gerät abhandenkommen, kann der
Abbildung 3: OS-Fingerprinting aus der Klamottenkiste
– denn hier entscheiden die Besitzer von
Geräten selbst, was sie auf dem Firmenserver tun
dürfen und womit.
Zu griff auf sensible Daten unterbunden werden.
Auf diese Weise erhöht die Applikation die
Sicher heit und vereinfacht das Clientmanagement
privater Devices. Indem die Nutzung privater
Geräte in sichere und transparente Bahnen
gelenkt wird, können die Unternehmen künftig
von den Vorzügen von BYOD profitieren.“
Die „smarte App von United Planet“ kostet
gerade mal 100 Euro. Wer beim Anbieter nachbohrt
und die Mitteilung anhand der gesammelten
Erkenntnisse abermals liest, erkennt,
dass die Server-App allein den Zugang zum
Hauptprodukt des Unternehmens, einem Intranetportal,
reguliert. Der Zugriff auf den Rest
der Firmen-IT ändert sich nicht. Schlimmer
noch: Die Sicherheitseinstufung des Mobilgerätes,
die von Gerätetyp, Betriebssystem und
Nutzungsabsicht abhängt, beruht rein auf den
Angaben des Gerätebesitzers (Abbildung 3). Im
Kern handelt es sich um eine primitive Inventarisierungsfunktion
mit Login-Anbindung und
Benutzer-Ermahnungsgenerator.

theoretische Ideallösung, Informationen
überall dort zu schützen, wo sie entstehen,
transportiert werden und lagern,
scheitert mangels geeigneter Lösungen.
Das Konzept des Information Rights Management
(IRM) erlaubt zwar, Daten bei
der Speicherung und beim Transfer zu
verschlüsseln und sie nur mit Anwendungen
zu bearbeiten, die die definierten
Be rechtigungen durchsetzen. Nur: Für
mobile Endgeräte fehlt es an praktischer
Un terstützung. Dazu kommen die geringe
Si cherheit der Geräte und deren schwache
Authentifizierungsverfahren.
Am Ende reift die Erkenntnis, dass auch
ein ambitioniert implementierter Schutz
auf der Ebene des Netzwerks nicht die
Löcher schließt, die mitgebrachte Endgeräte
reißen. Deshalb muss man bei den
Wertversprechen von Herstellern („Mobile
IAM“) vorsichtig sein und analysieren,
welche Anforderungen es im eigenen
Unternehmen gibt und welche Produkteigenschaften
dem entgegenstehen.
Denkbar ist es, mit einer individuellen
Ri sikoanalyse zu beginnen. Anhand derer
lässt sich ein Mix bilden aus bestehenden
Lösungen wie Firewalls, den unternehmensweiten
IAM-Lösungen, IPS- und IDS-
Systemen sowie anderen Sicherheitskomponenten
und aus neuen Ansätzen wie
MDM, virtuellen Desktops und Webapplikationen
(siehe Thin-Client-Artikel) oder
eben Policy-basierten Schutzmechanismen
wie Enterasys Mobile IAM.
Dazu gehören aber auch Vereinbarungen
mit den Nutzern und deren Information
Der Autor
Martin Kuppinger ist unter anderem
als Fachjournalist und
Buchautor tätig. Er hat mehr
als 50 IT-Fachbücher und unzählige
Fachartikel verfasst.
Zu seinem Themenspektrum
gehören neben der Informationssicherheit auch
Cloud Computing und Betriebssysteme.
über mögliche Risiken, Einschränkungen
für den Zugriff auf besonders sensitive
Systeme. Wer ein solches Setup
noch um sichere verschlüsselte Speicher
auf den Mobilgeräten und eine starke
Authentifizierung, beispielsweise mit
Einmal-Kennwörtern, unter Umständen
auch um spezielle Apps anstelle der Standardprogramme
ergänzt, erreicht definitiv
ein höheres, vielleicht sogar ein hohes
Maß an Sicherheit.
n
Infos
[1] Cisco Identity Services Engine (ISE):
[http:// www. cisco. com/ web/ DE/ products/​
security/ cisco_ise. html]
[2] Aruba Networks:
[http:// www. arubanetworks. com/​
solutions/ bring‐your‐own‐device/]
[3] Enterasys Mobile IAM:
[http:// www. onefabric. net/ byod/]
[4] BYOD-App von United Planet:
[http:// www. intrexx. com/ byod]
Zugangsschutz 09/2012
Titelthema
www.linux-magazin.de
31
MAGAZIN
SondErAkTion
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
nUr
MiT dVd!
Coupon senden an: Linux-Magazin Leser-Service A.B.O.
Postfach 1165, 74001 Heilbronn
JA,
ich möchte die nächsten 3 Linux-Magazin-Ausgaben für nur E 3*, statt
E 17,40*, testen. Wenn mich das Linux-Magazin überzeugt und ich 14 Tage
nach Erhalt der dritten Ausgabe nicht schriftlich abbestelle, erhalte ich das Linux-Magazin jeden
Monat zum Vorzugspreis von nur E 5,13* statt E 5,80* im Einzelverkauf, bei jährlicher Verrechnung.
Ich gehe keine langfristige Verpflichtung ein. Möchte ich das Linux-Magazin nicht mehr beziehen,
kann ich jederzeit schriftlich kündigen. Mit der Geld-zurück-Garantie für bereits bezahlte,
aber nicht gelieferte Ausgaben.
Name, Vorname
Straße, Nr.
PLZ
Ort
Datum
Unterschrift
Gleich bestellen, am besten mit dem Coupon
oder per
• Telefon: 07131 / 2707 274 • Fax 07131 / 2707 78 601
• E-Mail: abo@linux-magazin.de
Mit großem Gewinnspiel (Infos unter: www.linux-magazin.de/probeabo)
*Preis gilt für Deutschland
Mein Zahlungswunsch: Bequem per Bankeinzug Gegen Rechnung
BLZ
Konto-Nr.
Bank
Beliefern Sie mich bitte ab der Ausgabe Nr.
LM1124M

Titelthema
www.linux-magazin.de Mobile Thin Client 09/2012
32
Das Smartphone als Thin Client
Nimm’s leicht
Wer einsieht, dass mitgebrachte Smartphones und Tablets für die Firmen-IT eine zu üppige Kost sind, kann die
mobilen Clients zumindest auf das Nötigste reduzieren. Heraus kommen Gebilde, die man vom Admin-freundlichen
Server-based Computing kennt: Thin Clients mit Webbrowser und Remote-Desktops. Markus Feilner
nen Apps geschehen, die natürlich nicht
die Desktop-Metapher der Windows-,
Linux- und Mac-PCs nachahmen, sondern
die Business- von der Applikationslogik
trennen und so echte Apps für die
Büro- und Branchensoftware aufs mobile
Gerät bringen. Dabei wittern viele Unternehmen
– sowohl Consultants als auch
Software-Entwickler – gute Geschäfte.
Unsicherer Speicher
© Saimen., photocase.com
Die Rechnung sei einfach, meint Vijay
Dheap, Produkt Manager und Master
Inventor bei IBM Security Systems: „Sicherheit
bei „Bring your own Device“ ist
einfach die Summe aus Mobile Device
Security, Mobile App Security und Mobile
Access Security.“ Gerade weil Anwender
und Admins bei den ersten beiden
Komponenten nur schwer die Oberhand
behalten, gelte es dabei vor allem, das
potenziell unsichere Smartphone oder Tablet
immer als eine Plattform zu betrachten,
die sich dem Zugriff der Firmen-IT
und dem Schutz der Firewall entziehe,
selbst wenn der Anwender damit im internen
WLAN arbeite.
Deshalb empfehlen Sicherheitsspezialisten
die Rechenpower des smarten Device
links liegen zu lassen. Stattdessen
lohne es, auf die bewährten Konzepte
des Server-based Computing auszuweichen
und den mobilen Client mit einer
Software auszustatten, die den Zugriff
auf die Serverdienste so sicher wie eben
möglich gestalte.
Anachronistisch: Web und
Desktop auf dem Telefon
Webanwendungen und – für die Übergangszeit
– Remote-Desktop-Protokolle
erben damit überraschend ein neues
Einsatzfeld über ihren angestammten
Thin-Client-Bereich hinaus, auch wenn
die Bedienkonzepte eines RDP-, VNCoder
Citrix-Desktops „gar nicht zu dem
vom Anwender präferierten App-Kontext-
Switching und den kleinen Touchscreens
passen“ (Dheap). Immerhin lassen sich
so bestehende Infrastrukturen auf Smartphones
und Tablets bringen.
Auf lange Sicht muss das auch nach
Meinung von Security-Experten eines
deutschen Dax-Unternehmens mit eige-
Doch bis es so weit ist, wollen mobile
Mitarbeiter „schnell etwas auf dem Windows-Server
fertig stellen“ oder einfach
per Office-Software nachsehen, auch
unterwegs. Die Unternehmensdaten auf
dem Smartphone zu speichern oder dem
Gerät mit fremden Apps (etwa mit einem
der vielen kostenlosen Dokumenten-Viewer)
Zugriff zu verschaffen scheidet aus
Sicherheitsgründen aus. Zu groß ist das
Risiko, bei einem Verlust oder Diebstahl
einem interessierten Außenstehenden
Zugriff auf die Firmen-IT oder deren Daten
zu erlauben.
Die erste Pflicht muss es folglich sein,
das Speichern von Firmendaten oder
Zugangs-Credentials auf dem Smartphone
zu unterbinden. Weil das aber der
vom Anwender gewünschten Usability
widerspricht und es für alle Standardprotokolle
(Web oder Remote-Desktop)
unzählige Apps gibt, die diese Vorgabe
umgehen (Abbildung 1, [1]), ist das auf
einem Gerät, das nicht dem Einflussbereich
der Firma untersteht, nur schwer
umsetzbar.
Hinzu kommt, dass Benutzer das mehrfache
Eingeben einer Username-Passwort-
Kombination (beim Einschalten, beim
Entschlüsseln der Dateisysteme, beim
Verbindungsaufbau) auf die Dauer als

Mobile Thin Client 09/2012
Titelthema
Abbildung 1: Android VNC und Remote RDP Lite stehen stellvertretend für eine Vielzahl von Apps, die zwar zufriedenstellenden Remote-Zugriff ermöglichen, die
Credentials aber auf dem Endgerät speichern.
www.linux-magazin.de
33
nervig empfinden und zu umgehen suchen.
Hier stehen sich wieder einmal die
klassischen Ansprüche an Usability und
grundlegende Sicherheitsanforderungen
scheinbar unauflösbar gegenüber.
Office-Software und der
Touchscreen
Damit nicht genug: Die GUIs der Marktführer
sind – mit Ausnahme des kurz
vor Redaktionsschluss präsentierten
Microsoft Office [2] – nicht für den
Touchscreen vorbereitet. Auch die Videos
auf der Webseite von Citrix Receiver [3],
einer App, die Desktop-Anwendungen
(aus der virtuellen Desktop-Cloud, [4])
auf Android-Telefone bringt, zeigen die
Schwächen eindrucksvoll.
Das Office-Fenster reicht stets über den
kleinen Bildschirm hinaus, eine Darstellung
im übersichtlicheren Vollbild ist
offenbar nicht möglich. Für das Popup-
Menü (rechte Maustaste) muss der Anwender
länger auf das Display tippen.
Die Eingabe von Text über die Touchscreen-Tastatur
eignet sich sicherlich für
kleinere Korrekturen, nicht aber für längere
Texte oder die typischen Arbeiten
einer Bürokraft.
Bitte warten ...
das GSM-Netz das Steuern eines Remote-
Desktops. Funktioniert die Eingabe von
Text noch einigermaßen flüssig, gerät
das Verschieben oder Ziehen von Elementen
mit der Maus zur Qual. Wer das
nicht glaubt, der versuche testweise über
UMTS auf die VNC-Konsole von Mac OS
X zuzugreifen.
Besser machen das Protokolle mit intelligenter
Komprimierung und angepassten
Caches wie die NX-Libraries, Microsofts
Remote Desktop Protokoll (RDP), Citrix’
proprietäres ICA-Protokoll oder vollständig
proprietäre Lösungen wie die von
Teamviewer (Abbildung 2, [5]). Doch
für Nomachines NX gibt es mangels X-
Window keinen passenden Client für
Apple oder Android und die Kompression
von RDP und Teamviewer reicht
meist nicht aus, um auch über langsame
Leitungen ansprechende Ergebnisse zu
erreichen. Eine Wifi-Verbindung ist dann
Pflicht, was aber die Mobilität des Roadwarriors
wiederum einschränkt.
Hinzu kommt: Jeder Remote-Desktop-
Client, der um der Bedienbarkeit oder
Bandbreite willen einen lokalen Cache
vorhält, verschafft damit einem Angreifer
auf dem Smartphone ein verlockendes
Ziel – auch hier kollidieren Usability und
Sicherheitsanspruch.
HTML-5-Apps
Einen Ausweg aus dem Dilemma sehen
viele Sicherheitsexperten in eigenen
Apps, mit ihnen könnten Unternehmen
den zweiten Faktor der oben genannten
Gleichung adressieren: Mobile App
Security. Die Apps müssen nicht zwingend
als Standalone-Programme konzipiert
sein, es reicht auch aus, einfach eine
Art mit Sicherheitsfunktionen erweiterten
Wrapper um einen angepassten Browser
zu wickeln und die Inhalte mit HTML-5-
Technologien bereitzustellen.
Da wäre es dann auch ein Leichtes, Features
der Smartphones wie die Stand-
Ein weiteres Problem, das alle Remote-
Desktop-Apps teilen und für das die wenigsten
Protokolle eine Lösung bieten,
ist die Latenz. Verbindungen mit hoher
Bandbreite wie UMTS, HSPA oder LTE
schaffen zwar Übertragungsraten im
DSL-Bereich (vorausgesetzt die Funkzelle
hat Ressourcen frei), doch behindern die
vergleichsweise langen Laufzeiten über
Abbildung 2: Teamviewer bringt entfernte Desktops auch auf Android-Geräte. Mangels Touch-Integration
gestaltet sich deren Bedienung jedoch schwierig.

Titelthema
www.linux-magazin.de Mobile Thin Client 09/2012
34
Abbildung 3: Free RDP Webconnect setzt die Bildschirmdarstellung eines Windows-Terminalservers live in
HTML 5 um. Als Client reicht ein Browser.
ortbestimmung per GPS oder GSM-Netz
oder auch kommende Sicherheitsfunktionen
(wie die Google Device Policy
Apps, [6]) zu integrieren und so dafür
zu sorgen, dass der Zugang zur Firmen-
IT nur unter Bedingungen erfolgt („Auf
dem Firmengelände“, „Per UMTS eingewählt“,
„Passort/​PIN ist sicher“). Als
Minimalvoraussetzung für eine derartige
App nennen Security-Experten:
n Lokales Speichern von Credentials unterbinden
n Keinen Cache auf dem Smartphone/​
Tablet nutzen
n Die Authentisierung um One-time-
Passwörter mit separaten Smartcards
oder Tokens erweitern, nicht per Software
auf dem mobilen Gerät.
Der Zugriff auf die Unternehmensanwendungen
ließe sich dann exklusiv auf
die Smartphone-App beschränken (etwa
mit Client-side-Zertifikaten), alternative
Browser blieben aus Sicherheitsgründen
außen vor. Das gleiche Konzept könnte
für Standardprotokolle des Remote-Desktops
wie VNC und RDP oder für den Verbindungsaufbau
via VPN-Software dienen
– in der speziell angepassten App.
Simultanübersetzer
Fürs Erste könnten auch Tools helfen, die
wie Broadway [7], Guacamole [8] oder
Free RDP Webconnect (Abbildung 3, [9])
heutige Desktop-Umgebungen on the Fly
in HTML 5 konvertieren. Doch selbst das
ist, glaubt man Analysten wichtiger Beratungsunternehmen,
nur die Übergangsphase.
Admins und IT-Leiter müssten sich
darauf einstellen, dass Desktop-Software
mittelfristig Webapplikationen weichen
wird, auch und gerade wegen unumkehrbarer
Trends wie BYOD.
Als Beispiel nennen sie dafür immer
wieder die Stadt München, sie mache
das vor und erwarte seit 2008 „Plattformunabhängigkeit
bei allen Bewerbern in
Software-Ausschreibungen“ – übersetzt
bedeutet das nichts weniger als „Browser-basiert,
bitte!“
Kleinen Unternehmen, die zusätzlich
Fach anwen dungen oder andere ältere
Programme auf dem Desktop einsetzen,
bereitet das jedoch Probleme. Umso
mehr, wenn sie die Programme auch auf
absehbare Zeit nicht durch Browserfrontends
ersetzen können, dennoch aber
Smartphones oder Tablets einsetzen wollen.
Lässt sich der Vendor-Lock-in nicht
umgehen, bleibt nur der Griff zu den
auf Touchscreens unhandlichen Remote-
Desktop-Apps übrig.
Händewaschen hilft!
Peter Klee, IT Security Consultant bei
IBM, rät IT-Strategen dementsprechend
beim Design ihres BYOD-Konzepts die
Augen für einfache Lösungen offen zu
halten und Wert auf nachhaltige Investitionen
zu legen.
Es gäbe einfache Konzepte, die dauerhafteren
Erfolg brächten als der Einsatz von
viel und teurer Technologie. Er fordert
mehr Weitblick von den Admins: „Denken
Sie mal an die Krankenhauskeime.
All die Versuche, das mit medizinischpharmazeutischen
Mitteln in den Griff
zu kriegen, haben nicht funktioniert. Und
was hilft am besten? Wenn sich die Ärzte
und das Personal häufiger die Hände waschen!“
Wichtigster Ansatz dabei sei für viele Experten
die „Webifizierung“ der Business-
Anwendungen sowie die Absicherung des
Zugriffswegs. Klee spricht vom „A und
O der ganzen BYOD-Debatte: Angesichts
der Flut von mobilen Geräten und der
schnellen Innovationszyklen müssen wir
heute davon ausgehen, dass der HTML-5-
fähige Browser der kleinste gemeinsame
Nenner ist. Der Trend zu BYOD scheint
nicht abwendbar“.
Mit dem Browser als Plattform scheinen
Unternehmen auch in einigen Jahren
noch ihre Mitarbeiter mit allen Anwendungen
versorgen zu können, die sie
für die Arbeit brauchen – egal was für
vermeintlich smarte Geräte die dann ins
Unternehmen schleppen.
n
Infos
[1] Zehn freie Remote-Desktop-Apps im
Vergleich: [http:// slodive. com/ freebies/​
android‐remote‐desktop‐apps/]
[2] Microsoft Office Touch:
[http:// www. microsoft. com/ en‐us/ news/​
Press/ 2012/ Jul12/ 07‐16OfficePR. aspx]
[3] Citrix Receiver App for Android:
[http:// community. citrix. com/ display/ xa/​
Citrix+Receiver+for+Android]
[4] Markus Feilner, „Zentrale Aufgabe“:
Linux-Magazin 03/​11, S. 26
[5] Teamviewer-App für Android:
[http:// www. teamviewer. com/ de/​
download/ mobile. aspx]
[6] Google Device Policy Apps, Administration:
[http:// support. google. com/ a/ bin/
answer. py? hl=de& answer=1056433]
[7] Florian Effenberger, Markus Feilner, „GTK
führt Regie“: Linux-Magazin 02/​12, S. 58
[8] Harald Jele, „Grüner Dipp“: Linux-Magazin
04/​12, S. 72
[9] Free RDP Webconnect: [http:// freerdp. net]

www.kamp.de
In der IT setzt man besser
auf einen starken Partner!
IT-Lösungen – stark und individuell. Mehr unter www.kamp.de

Titelthema
www.linux-magazin.de MDM 09/2012
36
Mobile Device Management
Hüte sie wer kann
Die sauberste Lösung für BYOD scheint zu sein, dass die IT-Abteilung die Geräte unter ihre Kontrolle bringt und
für das Managen der Mobil-Betriebssysteme und Apps sorgt. Eine unübersichtlich große Menge Produkte verspricht
genau dies zu tun. Jan Kleinert
© Jenzig71, photocase.com
Der seriöseste Art mit dem Problem der
Mischnutzung von Geräten umzugehen,
ist private und dienstliche Programme
voneinander zu trennen. Das kriegt der
Admin für Privat-Notebooks gut in Eigenregie
bewerkstelligt, indem er den
privaten Teil des Gerätes weiter unter
der Kontrolle des Benutzers lässt und
den dienstlichen Teil selbst bereitstellt.
In Betracht kommen Dualboot- genauso
wie virtuelle Systeme. Letztere Variante
ist nicht nur moderner, sondern lässt
sich auch besser umsetzen: Die Festplatte
muss nicht umpartitioniert werden.
Schwerer noch wiegt der Vorteil, dass die
Virtualisierung Hardware-Unterschiede
nivelliert; der Admin in der Firma braucht
nur eine virtuelle Maschine für alle fremden
Rechner vorhalten.
Das Betriebssystem gestalten die Admins
am besten fernadministrierbar. Die Verbindung
nach draußen sollte ausschließlich
per VPN in die Firma passieren – am
besten, man lässt den Mitarbeiter sogar
beim dienstlichen Surfen über das Firmengateway
laufen.
Wer keine Virtualisierung möchte, kann
die Mitarbeiter mit USB-Sticks ausstatten,
mit denen sie ihre Rechner booten.
Die sollten freilich in Sachen Security so
ausgelegt sein, dass bei Verlust keine ungesicherten
Zertifikate in falsche Hände
kommen. Es gibt auch Firmen, die sich
auf entsprechende Bootmedien spezialisiert
haben, beispielsweise ECOS mit
ihrem „Secure Boot Stick“, der eine Zwei-
Faktor-Authentifizierung bietet [1].
Smartphones und Tablets
Die modernen Geräteklassen machen
den Admins die Administration ungleich
schwerer. Einzig RIM mit seinen Blackberry-Serien
hat schon beim Design an
Fremd- und Gruppenadministration gedacht.
Android- und Apple-Geräte dagegen
sind für den Massenmarkt gemacht
und bieten von sich aus keine ernst zu
nehmende Unterstützung. Firmen sind
auf die Software und Hilfe von Drittanbietern
angewiesen.
Das Sachgebiet nennt sich Mobile Device
Management, kurz MDM. Es umfasst das
zentrale Verwalten der Geräte sowie das
Verteilen von Apps, Daten sowie Einstellungen.
Laut [2] besitzt die ideale MDM-
Lösung folgende Eigenschaften:
n Kompatibel zu allen gängigen Mobilplattformen
und -anwendungen
n Arbeitet in allen Mobilfunknetzen
n Lässt sich direkt Over-the-air (OTA)
implementieren unter Auswahl bestimmter
Zielgeräte
n Liefert Hardware, Betriebssysteme,
Konfiguration und Anwendungen
schnell und problemlos aus
n Administratoren fügen mobile Geräte
nach Bedarf per System hinzu oder
entfernen sie
n Die Integrität und Sicherheit der IT-
Infrastruktur ist stets gewährleistet
n Security Policies werden konsequent
durchgesetzt
n Der Anwender bekommt von der Existenz
der Lösung kaum etwas mit.
Rund 50 Anbieter treten mit MDM-Lösungen
in Erscheinung (siehe Kasten „Der
Markt“). Bei den aktuellen Systemen lassen
sich grundsätzlich zwei Typen unterscheiden:
Management-Systeme, die
im Wesentlichen nur einen Endgerätetyp
oder ein Betriebssystem unterstützen
wie Blackberry von RIM oder der System
Center Mobile Device Manager von
Microsoft. Sie eignen sich nur für Monokulturen,
legen dort aber in der Regel größere
Leistungsfähigkeit an den Tag als die
zweite Gruppe. Diese zielt auf heterogene
Endgerätelandschaften ab und macht den
Hauptteil des Marktes aus. Die Produkte
differieren stark darin, welche Gerätety-

pen sie unterstützen und wie vielfältig
die angebotenen Funktionen sind. Vor
ihrer Einführung müssen Unternehmen
daher genau hinschauen.
Monokulturen
Ein vergleichsweise einfaches Szenario
erlaubt den Anwendern nur ein einziges
System, etwa Smartphones von Research
In Motion (RIM). Die neue Blackberry-
10-Plattform gilt als sehr leistungsfähig
und passt perfekt zur erprobten Managementumgebung
Blackberry Mobile
Fusion. Allerdings sind Probleme mit
der Service-Verfügbarkeit dokumentiert.
RIM verkauft zudem mit dem Blackberry
Enterprise Server eine Managementplattform
für die Eigenregie in der Firma.
Für einige Irritation im Markt sorgte der
Umstand, dass RIM den deutschen MDM-
Platzhirsch Ubitexx [4] übernommen
hat, dessen Plattform eine Vielzahl von
mobilen Systemen adressierte.
Es ist zu vermuten, dass auch Microsoft
mit Windows Phone 8 in Richtung zentraler
Wartungsfunktionen gehen wird. Die
Integration von United Extensible Firmware
Interface (UEFI) und einem Remote
Management sowie dem Windows Phone
8 Hub für unternehmensweite Apps deuten
darauf hin. Wie weit diese Geräte in
den Industrieländern Fuß fassen können,
bleibt freilich abzuwarten.
Symantecs und SAPs
MDM-Reiche
Apropos Unternehmenskäufe: Im März
hat Symantec die Firma Odyssey Software
übernommen und gelangte damit in
den Besitz der Software Odyseey Athena.
Symantec komplettiert das eigene MDM-
Portfolio [5] und bietet damit eine
Standalone-Lösung an, ein integriertes
MDM in der Altiris IT Management Suite
und ein MDM, das sich in den Microsoft
System Center Configuration Manager
integrieren lässt. Daneben existieren
Einzellösungen wie die ab dem zweiten
Halbjahr verfügbare Symantec Data
Loss Prevention for Mobile für das iPad
und iPhone. Das Nukona App Center
verschlüsselt Daten und Apps auf I-OS-
Geräten und der Symantec PGP Viewer
zeigt verschlüsselte E-Mails auf Appleund
Android-Geräten an.
Neu ist die „Mobile Security für Android“:
Symantec beobachtet und analysiert dazu
Millionen von Android-Apps in den weltweiten
Appstores und greift zudem auf
Erkenntnisse aus dem eigenen Analysenetz
Global Intelligence Network und die
Malware-Erkennung von Software Norton
Mobile Security zurück. Heraus kommt
eine Art Freund-Feind-Unterscheidung.
Die Software lässt sich in die Altiris IT
Management Suite von Symantec und
den Microsoft System Center Configuration
Manager integrieren.
Sybase, mittlerweile ein Unternehmensbereich
von SAP, verwaltet mit dem Pro-
MDM 09/2012
Titelthema
www.linux-magazin.de
37
Digitales aBO
linuxUser: Das Monatsmagazin für die Praxis
DigisUB *
nur 56,10 €
im Jahr (12 PDFs)
* Digitales Abo, jederzeit kündbar
Jetzt Bestellen Unter:
www.linux-user.de/digisub
Telefon: 07131 /2707 274
Fax: 07131 / 2707 78 601
E-Mail: abo@linux-user.de

Titelthema
www.linux-magazin.de MDM 09/2012
38
© SAP / Sybase
Abbildung 1: Die umfängliche MDM-Lösung Sybase Afaria gehört mittlerweile zu SAP.
dukt Afaria [6] Android-, Apple- und
Blackberry-Geräte (auch Windows-Notebooks).
Auf den Servern ist Windows
Voraussetzung (Abbildung 1). Afaria Advanced
Enterprise Security for Android
zielt auf das Samsung Galaxy S und S2
ab und umfasst ein Sicherheitsmanagement
über Richtlinien, Anwendungsmanagement,
Konfigurationsmanagement,
Exchange-Clientkonfiguration und Overthe-Air-Bereitstellung.
Letztere funktioniert
serverseitig auch auf einem Linux-
Apache-Server.
Mobile Iron
Als Spezialanbieter hat es Mobile Iron [7]
dieses Jahr in den Leader-Quadranten bei
Gartner geschafft. Das Produktportfolio
Der Markt
Im 2012 haben die Analysten von Gartner das
letzte mal den MDM-Markt untersucht und
ihren Magischen Quadranten gezeichnet [3].
Als wichtigste Spieler sehen sie: Air Watch
(beruht auf dem MDM-Angebot der deutschen
Firma Matrix42), Amtel, Boxtone, Fiberlink,
Good Technology, IBM, LAN Desk, McAfee,
Mobile Iron, MY Mobile Security, Open Peak,
SAP, Silverback MDM, Smith Micro Software,
Sophos, Soti, Symantec, Tangoe, Trend Micro
und Zenprise.
Als „weitere Anbieter“, die zum Teil auch nicht
alle Bewertungskriterien der Analyse erfüllen,
umfasst mit Application Delivery Network
(ADN, Abbildung 2) eine große
App-Ausroll-Lösung genauso wie die Spezialanwendung
Mobile Iron Docs@Work,
die durch Verschlüsselung und Kontrolle
Datenlecks verhindern will.
Für Linuxer interessanter ist das Produkt
App Connect für Android. Es verpackt
jede geschäftliche App in einen Container,
den der Admin über die Mobile-Iron-
Konsole verwaltet. Nur vertrauenswürdige
Apps können Daten untereinander
austauschen. Private Apps auf dem
Mobilgerät sind von dieser Kommunikation
ausgeschlossen. Die erweiterte
App-Wrapping-Technologie erfordert
allerdings einen minimalen Eingriff des
Android-App-Entwicklers. App Connect
verschlüsselt zudem Daten, bietet eine
nennt Gartner die folgenden: 3LM, Absolute
Software, Aether Pal, Alcatel-Lucent, Alepo,
Apperian, Avoceen, Blackbox Mobile, BMC
Software, CA Technologies, Capricode, Cloud
Systems, Commsolv, Commontime, Cortado,
Equinox Software, Finepoint Software, Gill
Technologies, Google, Halosys, HP, Innopath,
I-Pass, JAMF Software, Juniper Networks, LRW
Technologies, Mformation Technologies, Mobi
DM, Mobi Wireless, Mobile Frame, Mobiquant,
Microsoft, NitroDesk, Notify Technology, Novell,
Perlego Systems, Sirrix, Virtela, Wavelink, Wyse
Technology und Zelog.
Single-Sign-on-Funktion und trennt geschäftliche
und private Daten (siehe
nächster Abschnitt).
Neuer Ansatz
Dank leistungsfähigerer Hardware rückt
in den letzten Monaten ein neue Möglichkeiten
ins Blickfeld. Technisch ähnlich
zur eingangs geschilderten Trennung von
Programmen und Daten auf Notebooks,
arbeiten einzelne Firmen und Institute
daran, dieses auch auf Smartphones und
Tablet-PCs zu realisieren. Pionier ist Good
Technology: Good Mobile Control legt
getrennte verschlüsselte Datenbereichen
(„Container“) für private und Firmendaten
auf dem Mobilgerät an.
Moderner und besser ist eine Vir tualisie
rung, weil der Benutzer in Echtzeit
zwischen zwei Systemen umschalten
kann. Dabei kontrolliert das Unternehmen
das virtuelle Betriebssystem in einer
abgesicherten Umgebung und sorgt automatisch
für Aktualisierungen, da es die
gesamte Sandbox-Umgebung verwaltet.
So bietet VMware eine Virtualisierungsmöglichkeit
für kleine Geräte mit den
Betriebssystemen Windows CE 5.0 und
6.0, Linux 2.6, Symbian 9, E-Cos, µItron
Norti und µC/​OS-II an [8].
Mit der Technik allein
ist es nicht getan
Wer eine MDM-Lösung einführt, hat auch
organisatorische und rechtliche Vorbereitungen
zu treffen. So sollte er Leitlinien
für das Gerätemanagement definieren,
die die Aktivitäten für BYOD-Geräte abdecken,
beispielsweise die Vorgaben für
die Nutzer-Registrierung und des Nutzer-
Selfservice. Auch der Helpdesk braucht
eine Richtlinie, mit welchen Mitteln er
Fehler aufspüren und beheben will. Zudem
sollte die Rechtsabteilung eine Vereinbarung
ausarbeiten über den Umfang
des betrieblichen Eingriffs in die Privatgeräte,
einhergehende Rechte und Pflichten
beider Seiten sowie zur Haftung.
Fazit
Mobile Device Management ist der löbliche
Versuch, das Übel an der Wurzel zu
packen – unsichere Endgeräte unter die
Kontrolle der Firmen-IT zu bringen und

© Mobile Ivon
Abbildung 2: Das Mobile Iron Application Delivery Network rollt Apps aus.
durch eine Managementlösung sicher zu
machen. Was nach einer sauberen Lösung
klingt, erweist sich in der Praxis
als schwer durchsetzbar – schon allein
deshalb, weil MDM den Eigentümern der
Geräte Restriktionen zumutet.
Auch technisch ist die Sache eine einzige
Herausforderung, da die Mehrzahl der
Consumergeräte und
Betriebssysteme auf
Usability und nicht auf
Managebarkeit und
Datenschutz optimiert
sind. Hinzu kommen
die Vielzahl verschiedener
Geräte und das
Innovationstempo auf
dem Markt: Jedes
MDM steht Unmengen
sich schnell bewegender
Ziele gegenüber.
Am aussichtsreichsten
sind die neuen Virtualisierungsansätze.
Ohne Vorgaben des eigenen Unternehmens
(„Erlaubt für BYOD sind nur
Samsung-Geräte mit der Android-Version
X“) erscheint die Situation kaum beherrschbar.
Unterm Strich fahren Unternehmen,
die MDM anzuwenden planen,
besser, wenn sie gleich Firmenhandys
und ‐tablets ausgeben. Bring your own
Device dürfen sie das dann freilich nicht
mehr nennen.
n
Infos
[1] ECOS: [http:// www. ecos. de/​
Bring‐your‐own‐device. html]
[2] MDM bei Wikipedia: [http:// de. wikipedia.​
org/ wiki/ Mobile‐Device‐Management]
[3] Magic Quadrant for Mobile Device Management
Software: [http:// www. gartner. com/​
technology/ reprints. do? id=1‐1AKKJNN&​
ct=120518& st=sb]
[4] Ubi-Suite (gehört heute zu RIM):
[http:// de. wikipedia. org/ wiki/ Ubi‐Suite]
[5] MDM bei Symantec: [http:// www. symantec.​
com/ de/ de/ about/ news/ release/ article. jsp?​
prid=20120515_02]
[6] Sybase/​SAP Afaria: [http:// www. sybase. de/​
products/ mobileenterprise/ afaria]
[7] Mobile Iron: [http:// www. mobileiron. com]
[8] VMware bringt Virtualisierung auf Mobiltelefone:
[http:// www. vmware. com/ de/​
technical‐resources/ mobile. html]
MDM 09/2012
Titelthema
www.linux-magazin.de
39
Android User im Abo
Die Monatszeitschrift für Android-Fans, Smartphone- und Tablet-Nutzer
Neu mit Prämie!
15% sparen beim Print- oder
Digital-Abo und exklusive Prämie
sichern!
SoftMaker Office über Google Play erhältlich, Freischaltung erfolgt per
Gutscheincode. Angebot gilt solange der Vorrat reicht, Tablet und Smartphone
sind nicht Bestandteil der Prämie!
Jetzt bestellen unter:
www.android–user.de/abo
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de

Titelthema
www.linux-magazin.de Mobile Security 09/2012
40
Mobile-Security-Produkte für Android-Geräte
Smart und an der Leine
Für kleine Firmen erscheint ein BYOD-rundum-Management illusorisch. Mobile-Security-Software von der
Stange überwacht Software-Installationen und begrenzt den Schaden bei Diebstahl oder Verlust. Mathias Huber
schaffte dagegen lediglich zwischen 40
und 65 Prozent.
Der Smartphone- und Tablet-Benutzer ist
aber nicht nur von mobiler Malware bedroht:
Er kann das Gerät einfach verlieren
oder es wird ihm gestohlen. Firmendaten
dürfen nicht in falsche Hände geraten,
darum ist neben dem Malware-Scanner
ein Diebstahlschutz fester Bestandteil
der Security-Pakete (siehe Kasten „Virenschutz?
Mobile Security!“).
Schadensbegrenzung
© stylephotographs, 123RF.com
In einem kleinen oder Kleinstunternehmen
lohnt sich keine kostspielige Software
fürs Devicemanagement. Zudem
möchte nicht jeder Inhaber oder Admin
die Smartphones seiner Mitarbeiter und
Kollegen restriktiv vernageln. Wer dennoch
verhindern möchte, dass die neueste
Spaß-App die Unternehmensdaten
an einen Schurkenserver schickt, greift
zu Mobile-Security-Produkten.
Preisfrage
Dieser Artikel stellt vier kostenpflichtige
und eine Gratis-App für den Schutz von
Online PLUS
Sparen Sie sich
das Abtippen der
URLs: Eine Linkliste zu
diesem Artikel finden
Sie online, der QR-Code
führt Sie dorthin.
Android-Mobilgeräten vor. Dabei führt
der Weg zu mancher Bezahl-Software
über eine zunächst kostenlose Light- oder
Free-Variante im Google Play Store. Das
kostenpflichtige Upgrade zur Voll- oder
Premium-Version mit allen Funktionen
und Updates erfolgt dann über die installierte
App. G-Data und Kaspersky allerdings
geben den Preis ihrer Produkte
bereits im Play an.
Alle Security-Suites enthalten einen
Malwareschutz und aktualisieren die
Suchmuster regelmäßig. Deren Qualität
vermögen allerdings nur Spezialisten
zu beurteilen, denn nur sie besitzen
eine gut sortierte Sammlung geeigneter
Schädlinge (Abbildung 1). Das Magdeburger
Labor AV-Test hat im März 2012
Untersuchungen mit 618 Malwaredateien
durchgeführt. Die Fachleute bescheinigten
Avast Free Mobile Security und Kaspersky
Mobile Security eine Erkennungsrate
von über 90 Prozent, Bitdefender
und Norton eine über 65 Prozent, G-Data
Vor Diebstahl und Verlust schützen solche
Programme allerdings nicht direkt,
sie begrenzen lediglich den Schaden,
falls das Gerät abhanden kommt. So
lässt sich eine installierte Komponente
aus der Ferne per SMS oder Weboberfläche
aktivieren, um eine Reihe von Aktionen
durchzuführen. Dazu gehört, einen
durchdringenden Sirenenton abzuspielen
oder das Gerät zu sperren.
Von besonderer Bedeutung ist der so genannte
Remote Wipe, das Löschen aller
persönlichen Daten und Dateien auf einem
Gerät. Die meisten Tools registrieren
auch das Einsetzen einer anderen SIM-
Karte (SIM-Watch) und sperren das Gerät,
was es für den Dieb nutzlos machen
soll. Wer selbst Detektiv spielen möchte,
kann das Smartphone auf einer Webkarte
orten oder mit einer – falls vorhanden
– Frontkamera versuchen den vermutlichen
Dieb zu fotografieren.
Loses Schloss
Das Ganze hat jedoch einen Haken. Ein
solcher Softwareschutz bleibt wirkungslos,
wenn ihn der Täter mit normalen
Benutzerrechten deinstallieren darf. Das
war im Test der Redaktion bei den Pro-

Virenschutz? Mobile Security!
Marcel Hilzinger,
Chefredakteur
„Android User“
Vor Viren, die sich selbst
verbreiten, braucht der
Android-Benutzer in der
Regel keine Angst zu haben.
Bei der üblichen Nutzung
ist die Gefahr, sich
einen Schädling einzufangen,
sehr gering. Zudem
verbreiten sich rund 90
Prozent der aktuellen
Malware-Apps nur in Asien.
Dennoch droht Gefahr von einzelnen Apps, die
es auf den Geldbeutel der Anwender abgesehen
haben und dazu kostenpflichtige Nummern
anrufen oder SMS-Nachrichten versenden.
Daneben droht Datenklau, der besonders im
Unternehmenseinsatz eine ernsthafte wirtschaftliche
Gefahr darstellt.
Abbildung 2: G-Data schützt ausgewählte
Apps mit einem Passwort vor
dem Ausführen und Löschen.
dukten von Bitdefender,
Kaspersky
und Norton der
Fall.
G-Data Mobile Security
2 dagegen
schützt Anwendungen
mit einem
Passwort vor dem
Löschen, inklusive
seiner selbst und
der Diebstahlsicherung.
Auch das
Ausführen von
Apps und das Lesen
von Kontakten
lässt sich unterbinden
(Abbildung
2).
Testvirus erwischen ist für Kaspersky
Abbildung 1: Geschnappt! Den EICAR-
Am raffiniertesten und andere keine große Kunst.
geht Avast Free
Mobile Security vor: Es verbirgt die Anti-
Theft-App, die der Benutzer fortan nur
noch zur Konfiguration aufrufen kann,
indem er die PIN in die Telefontastatur
eingibt, als wäre sie eine Rufnummer
(Abbildung 3). Zudem kann er einen beliebigen
Tarnnamen für die Anwendung
angeben für den Fall, dass diese doch einmal
in einer Liste von Apps auftauchen
sollte. Die kostenlose Security-Suite lässt
sich zwar entfernen, der Diebstahlschutz
aber bleibt, er nimmt Befehle nur per
SMS entgegen.
Wem es allein auf die Schadensbegrenzung
im Verlustfall ankommt, der ist mit
einem kostenlosen Tool namens Android
Lost gut beraten [2]. Sein Funktionsumfang
kann ohne Weiteres mit den besseren
Komponenten der Suites mithalten.
Blockierte Seiten
Ein vom Desktoprechner bekanntes Einfallstor
für Angriffe ist der Webbrowser.
Er lässt sich verwenden, um dem Surfer
Dateien unterzuschieben (Drive-by
Download) oder um ihm mit gefälschten
Seiten Passwörter für allerhand Dienste
zu entlocken (Phishing). Mit Ausnahme
von Kaspersky verpassen daher alle Pakete
dem eingebauten Android-Browser
eine Liste bekannt böswilliger Sites, die
er nicht anzeigen darf – es sei denn, der
Anwender klickt die Warnung bewusst
Antimalware-Tools bekannter Hersteller wie
Kaspersky oder Bitdefender scannen jede
App bei der Installation und schlagen sogleich
Alarm, wenn sie eine verdächtige App entdecken.
Zu einem umfassenden Smartphone-
Schutz gehören aber auch weitere Funktionen,
darunter das Blockieren von Rufnummern oder
SMS-Absendern, eine Fern-Administration per
SMS, falls das Handy verloren gehen sollte,
sowie eine Gerätesperre, wenn jemand die SIM-
Karte auswechselt.
Statt von Antiviren-Apps zu sprechen wählen
die Hersteller für ihre Apps deshalb den Oberbegriff
Mobile Security. Die Installation eines
solchen Security-Produkts ist sinnvoll – nicht
in erster Linie, um gefährliche Apps zu entdecken,
sondern um den Schaden bei Verlust oder
Diebstahl zu begrenzen.
Managed
Server
Profitieren Sie von:
aktuelle Clustertechnologie
ISO 9001 zertifiziertem
Managed Hosting
Hochsicherheits-Datacenter
DE-CIX Direktanbindung
24/7 Service und Support
Individuelle Linux-Server
Professionelles Hosting mit flexiblem,
persönlichem und kompetentem
Support. Für mehr Performance,
Sicherheit und Verfügbarkeit, jeden
Tag, rund um die Uhr.
Wir bieten Hostinglösungen vom
Server bis zum Clustersystem inkl.
Beratung, Planung und Service 24/7.
hostserver.de/server
Managed Hosting
zertifiziert nach
ISO 9001 : 2008
0 30 / 420 200 24 hostserver.de
Berlin Marburg Frankfurt am Main

Titelthema
www.linux-magazin.de Mobile Security 09/2012
42
weg. Details oder Einstellungsmöglichkeiten
zeigt
diese Komponente bei keinem
der besprochenen Produkte.
Wer einen alternativen
Browser verwendet, ist
ohnehin auf sich allein gestellt.
Unerwünschte Werbe-Anrufe
und SMS-Spam können
manchem die Freude am
Smartphone verleiden. Zumal
wenn er sich eigentlich
auf seine Arbeit konzentrieren
sollte. Daher können die
meisten Security-Anwendungen
eingehende Telefonate
und Kurzmitteilungen
von bestimmten Nummern
blockieren. Kasperskys Lösung
benutzt zum Sperren
auf Wunsch Whitelist, Blacklist oder eine
Kombination der beiden.
Telefonzeiten
Besonders komfortabel ist die Funktion
bei Avast Free Mobile Security gestaltet,
das dafür sogar einen Zeitplan mit Wochentagen
und Stunden vorsieht. So bleiben
Meetings und produktive Stunden
ungestört, in der Freizeit ist der Anwender
aber erreichbar. Lediglich Bitdefender
Mobile Security verzichtet auf solcherlei
Funktionalität, was das Produkt trotz bescheidenen
Preises recht mager aussehen
lässt (Abbildung 4).
Neben den Kernfunktionen bringen die
meisten Suites noch ein bisschen informatives
Zubehör mit: Avast zeigt den
Speicherverbrauch laufender Apps, die
anderen haben meist eine Ansicht auf Lager,
die den Anwender über die Berech-
Abbildung 3: Avast versteckt den
Diebstahlschutz geschickt und gibt
dem Programm einen Tarnnamen.
tigungen installierter Software aufklärt
(Abbildung 5). Avast bringt als einziger
Anbieter ein Feature für die Inhaber
gerooteter Geräte mit: Sie können sich
eine lokale Firewall einrichten.
Resümee
Abbildung 4: Das Menü von Bitdefender
Mobile Security ist nur spartanisch
bestückt.
G-Data Mobile Security 2 erfreut den Benutzer
durch eine übersichtliche Oberfläche,
die dennoch vielfältige Einstellungen
erlaubt. Der Diebstahlschutz lässt sich
nicht so einfach deaktivieren. Bei der
Malware-Erkennung dagegen schneidet
das Produkt eher schlecht ab. Hier glänzt
neben Kaspersky das kostenlose Produkt
von Avast. Außerdem lässt es die kostenpflichtige
Konkurrenz mit seinem resistenten
Diebstahlschutz und den flexiblen
Blockier-Einstellungen alt aussehen.
Tabelle 1 fasst die Befunde dieses Artikel
übersichtlich zusammen.
n
Abbildung 5: G-Data klärt den
Anwender darüber auf, was einzelne
Anwendungen dürfen.
Infos
[1] AV-Test GmbH, „Test Report: Anti-Malware
solutions for Android“: [http:// www.​
av‐test. org/en/ tests/android/]
[2] Android Lost: [http:// androidlost. com]
[3] Avast Mobile Security:
[https:// play. google. com/ store/​
apps/ details? id=com. avast. android.​
mobilesecurity]
[4] Kaspersky Mobile Security 9:
[https:// play. google. com/ store/ apps/​
details? id=com. kms]
[5] Bitdefender Mobile Security:
[https:// play. google. com/ store/ apps/​
details? id=com. bitdefender. security]
[6] G-Data Mobile Security 2:
[https:// play. google. com/ store/ apps/​
details? id=de. gdata. mobilesecurity2g]
[7] Norton Mobile Security:
[https:// play. google. com/ store/ apps/​
details? id=com. symantec. mobilesecurity]
Tabelle 1: Mobile-Security-Produkte
Avast Free Mobile
Security [3]
Kaspersky Mobile
Security 9 [4]
Bitdefender Mobile
Security [5]
G-Data Mobile
Security 2 [6]
Norton Mobile
Security [7]
Preis (Jahreslizenz) kostenlos 7 Euro 8 Euro 20 Euro 30 Euro
Malwareschutz ja ja ja ja ja
Diebstahlschutz Sperren und Wipe per
SMS, SIM-Watch, getarnte
App
Sperren, Wipe und
Ortung per SMS, SIM-
Watch
Sperren, Wipe, Ortung,
Alarm, Foto
Sperre, Wipe und
Ortung per SMS, SIM-
Watch.
Sperren, Ortung, Wipe
per Web und SMS, Kamera
aktivieren nur per
Web, SIM-Watch
SMS blockieren ja ja nein ja ja
Anrufe blockieren ja ja nein ja ja
Android-Browser-
Sicherheit
ja nein ja ja ja

In eigener Sache: DELUG-DVD
Grub 2, I-doit, Zentyal
Einführung 09/2012 12/2010
Software
Auch diesen Monat bekommen die DELUG-Käufer wieder eine DVD mit exklusiven Inhalten. Von der DVD bootet
das Rettungssystem Super Grub 2, außerdem enthält sie die Managementsoftware Zentyal für Ubuntu-Server,
ein E-Book über Sicherheit, mehrere Videos und eine erweiterte Gratisversion von I-doit. Markus Feilner
www.linux-magazin.de
43
Inhalt
44 Tooltipps
Pass 12, Daytime, Lmvirt, Barefootd,
Iptstate und Monitorix.
46 Bitparade
Großer CMS-Vergleich: Wordpress, Concrete
5, Redaxo, Pivot X und CMS made
simple treten an zum Test.
Neben einem normalen Linux-Magazin
ohne Datenträger gibt es die DELUG-
Ausgabe mit Monats-DVD, bei der die
Redaktion den Datenträger nach einem
speziellen Konzept zusammenstellt: In
einer Art modularem System enthält
er Programme und Tools, die in der jeweiligen
Magazin-Ausgabe getestet und
besprochen werden. Zudem führt eine
HTML-Oberfläche durch von der Redaktion
besonders empfohlene Software.
Super Grub 2
Admins kennen das Problem: Wer Windows
nach Linux installiert, kann das freie
Abbildung 2: Kostenlos als E-Book auf der DVD.
Betriebssystem zunächst
nicht mehr booten, weil
Microsofts Installationsroutine
den MBR (Master Boot
Record) überschreibt. Zwar
ist die Linux-Partition noch
vorhanden, aber es gibt
keine Option mehr, diese
zu starten.
In einem solchen Fall ist es
Gold wert, die DELUG-DVD
mit Super Grub Disk parat
zu haben. Das davon
bootende minimale Linux-
System startet auf den Festplatten
vorhandene Systeme
oder repariert defekte Abbildung 1: Super Grub 2 ist der ideale Helfer, wenn irgendetwas mit
Bootloader. Überdies haben dem Master Boot Record oder der Festplatte schiefläuft.
die Entwickler das System
gerade erst auf die Version 2 des beliebten
Linux-Bootmanagers aktualisiert.
Gefahr von innen
Wer mit dem Browser auf die DVD zugreift,
findet im HTML-Menü gleich zwei
exklusive Inhalte: Kostenlos gibt es das
zum Titelthema dieser Linux-Magazin-
Ausgabe passende E-Book „Netzwerkangriffe
von innen“ (Abbildung 2) aus dem
Hause O’Reilly. Auf fast 300 Seiten schildert
Paul Sebastian Ziegler die Gefahren
unsicherer Protokolle, zeigt wie sichere
Varianten aussehen sollten, erklärt das
Absichern des Netzes und beschreibt die
unterschiedlichen Typen von Angreifern,
mit denen Admins konfrontiert sind.
I test it!
Ebenfalls exklusiv auf der DELUG-DVD
ist die ein ganzes Jahr geltende erweiterte
Testversion von I-doit. Passend zum
Artikel in der Sysadmin-Rubrik können
sich Admins hier ein genaues Bild davon
machen, wie die Software bei der technischen
Dokumentation der Betriebsumgebung,
der Modellierung von IT-Services
oder der Konsolidierung von ITSM-Daten
hilft. I-doit tritt an, Admins das Rüstzeug
für die Beherrschung der eigenen
IT-Landschaft zu geben.
Software und Management-
Konferenz-Videos
Damit nicht genug, auch die Software
aus den Tooltipps und der Ubuntu-Small-
Business-Server Zentyal (sowohl als virtuelle
Maschine als auch als ISO-Image)
und die Javascript-Programmierbibliothek
Three.js finden sich auf der DVD.
Und wem das immer noch nicht reicht,
der schaut sich die Videomitschnitte der
„Open Source System Management Conference
2012“ in Bozen an. Da sprechen
Experten übers Monitoring mit Nagios,
zehn Jahre Cacti, Ntop, ITSM und die
Netzwerkanalyse mit Nedi. n

Software
www.linux-magazin.de Tooltipps 09/2012
44
Werkzeuge im Kurztest
Tooltipps
Pass 12 1.0
Sichere Passwörter erzeugen
Quelle: [https:// bitbucket. org/ alannear/​
pass12]
Lizenz: GPLv3
Alternativen: Pwgen, Passgen
Daytime 0.4
Flexibler Abgleich für alle Zeitprotokolle
Quelle: [http:// sites. google. com/ site/​
columscode/ home/ daytime]
Lizenz: GPLv3
Alternativen: NTP, Openrdate
Imvirt 0.9.4
Virtuelle Maschinen erkennen
Quelle: [http:// micky. ibh. net/ ~liske/ imvirt.​
html]
Lizenz: GPLv2
Alternativen: Sys::Detect::Virtualization,
Virt-what
Ist ein Kennwort zu einfach (Name des
Partners, der Kinder oder Haustiere),
knackt ein Wörterbuchangriff es in Windeseile.
Anwender, die sich nicht selbst
etwas ausdenken möchten, oder Admins,
die Dutzende von sicheren Passwörtern
im Akkord generieren müssen, erhalten
Hilfe von Pass 12. Das Tool erstellt komplexe
Kennwörter, die aus zwölf Zeichen
bestehen. Neben dem Standard-Latin-
Zeichensatz verwendet Pass 12 auch Ziffern
und Sonderzeichen.
Das C-Programm nutzt »/dev/urandom«,
liest 16 Byte zufällige Daten aus und
überträgt sie mit der Base64-Funktion in
eine Ascii-Zeichenfolge. Auf Windows-
Systemen verwendet Pass 12 in Ermangelung
eines »urandom«-Device die Crypt-
Gen-Random-Funktion des Crypto-API,
um die 16 Byte Zufallsdaten zu erzeugen.
Ohne Parameter aufgerufen erzeugt das
Tool genau ein Passwort. Benötigt ein
Anwender mehrere, übergibt er eine beliebige
Ziffer im Aufruf. Alle neu generierten
Kennwörter schreibt Pass 12 auf
die Standardausgabe.
★★★★★ Pass 12 erstellt schnell ausreichend
komplexe Kennwörter. Wer hingegen
spezielle Anforderungen stellt und
Passwörter sucht, die man aussprechen
kann oder die immer mit einem Buchstaben
anfangen, der sollte zu einer alternativen
Lösung greifen.
n
Daytime hält das Systeme up to date. Das
kleine Tool zeigt wahlweise die aktuelle
Zeit an oder aktualisiert die System- und
Hardware-Uhr eines Rechners. Für Ersteres
kommt der Parameter »‐s« zum Einsatz,
Zweiteres verlangt nach »‐r«. Beide
Aktionen benötigen Rootrechte. Daytime
läuft nicht als Dienst im Hintergrund,
sodass Anwender es für jeden Abgleich
gezielt aufrufen müssen.
Zur Ermittlung der Uhrzeit zapft Daytime
mehrere Quellen im Internet an. Neben
dem klassischen NTP-Protokoll (»‐sntp«)
unterstützt das Tool auch Daytime-
(»‐daytime«) und Time-Protokolle
(»‐time«). Selbst via HTTP ermittelt es
(»‐http«), was die Stunde geschlagen hat
– ideal, falls eine restriktive Firewall die
gängigen Protokolle blockiert.
Wenn der Anwender keinen Server beim
Aufruf übergibt, bedient sich Daytime seiner
eigenen Zeitserver-Liste. Welche Stellen
es dazu kontaktiert, verrät der Befehl
»daytime ‐servers«. Ist der gewünschte
Zeitdienst nicht auf dem Standardport
verfügbar, können Nutzer über »‐p Port«
einen anderen beim Aufruf angeben.
★★★★★ Daytime ist dank vieler verschiedener
Quellen im Netz stets auf der
Höhe der Zeit. Einziges Manko ist, dass
es nicht als Daemon im Hintergrund arbeitet.
Dafür punktet es mit seiner leichten
Bedienung.
n
Anwender, die via SSH mit einem System
verbunden sind und darauf arbeiten,
können meist nicht auf Anhieb sagen,
ob sie sich in einer virtuellen Umgebung
befinden oder nicht. Das Perl-Skript Imvirt
verschafft mit einem einfachen Aufruf
Klarheit darüber; Parameter kennt es
nicht. Es nutzt im Hintergrund die Perl-
Bibliothek »libimvirt« und durchforstet
das System nach VM-typischen Hinweisen
wie Bootmeldungen, Device-Bezeichnungen
oder installierten Tools.
Imvirt spürt nicht nur Klassiker wie
VMware, Virtualbox und Xen auf, sondern
auch Open VZ/​Virtuozzo, Virtual
PC/​Virtual Server und LXC. Qemu und
KVM sind derzeit noch als experimentell
auf der Homepage gekennzeichnet. Da
Imvirt bei der Ermittlung auf das Tool
Dmidecode zurückgreift, das wiederum
das Device »/dev/mem« kontrolliert,
sind Rootrechte beim Aufruf erforderlich.
Wie zuverlässig Imvirt tatsächlich
arbeitet, lässt sich nicht genau sagen.
Im Test erkannte das Tool eine VMware-
Player-Session als »physical«, daher gibt
es momentan noch Punktabzug.
★★★★★ Mit Imvirt vergewissern sich
Anwender schnell, ob ein System eine
virtuelle Maschine ist – allerdings sind
beim Einsatz wie auch bei vergleichbaren
Skripten Rootrechte nötig.
n

Barefootd 1.4.0
Protokollunabhängiger Port-Bouncer
Quelle: [http:// www. inet. no/ barefoot]
Lizenz: BSD
Alternativen: Delegated
Iptstate 2.2.5
IPtables-Verbindungen beobachten
Quelle: [http:// www. phildev. net/ iptstate/]
Lizenz: Zlib/​Libpng
Alternativen: keine
Monitorix 2.5.2
Systemauslastung protokollieren
Quelle: [http:// www. monitorix. org]
Lizenz: GPLv2
Alternativen: Sysusage, Monit
Tooltipps 09/2012
Software
www.linux-magazin.de
45
Der leistungsfähige Port-Bouncer Barefootd
leitet eingehende TCP-Verbindungen
oder UDP-Pakete an einen anderen
Rechner um oder weiter. Damit eignet
sich der Service als Zugangspunkt für
externe Verbindungen, die er entweder
weiterreicht oder blockt. Für den Client
geschieht alles transparent, die Konfiguration
findet auf Barefootd-Seite statt.
Die Einrichtungsdatei gliedert sich in
drei Bereiche für die Servereinstellungen,
Regeln und Routen. Für den Server
bestimmt der Nutzer die Adresse, auf der
das Tool lauscht, die interne Adresse und
die Logdatei. Stehen mehrere externe Adressen
bereit, kann er auch eine Rotation
zwischen diesen einrichten.
Die Regeln definieren die Umleitung.
Jede Regel besteht aus einem Block mit
Regelsätzen. Barefootd unterscheidet dabei
zwischen »client block« und »client
pass«. Weitere Optionen wie »redirect«,
»maxessions« oder »bandwith« bestimmen
das Verhalten der jeweiligen Regel.
Die Routen sind ähnlich aufgebaut und
enthalten ebenfalls mehrere Blöcke mit
Definitionen.
Das Archiv enthält Beispiele, die den Einsatz
von Regeln und Routen veranschaulichen.
Ein Fehler hat sich allerdings bei
den Regeln eingeschlichen: Hier fehlt das
Schlüsselwort »client«, das einen Block
einleitet. Anwender, die ihre eigene Konfiguration
zunächst testen möchten, können
das mit dem Aufruf »barefootd ‐V«
gefahrlos tun.
★★★★★ In einer DMZ eingesetzt sorgt
Barefootd dafür, dass die eigentlichen
Server im Hintergrund bleiben. Ein weiteres
mögliches Einsatzszenario ist die
virtuelle Zusammenführung mehrerer
Dienste, die nach außen hin wie ein
Rechner auftreten.
n
Was Top für die Prozesse, ist Iptstate
für IPtables-Verbindungen. Der Monitor
schaut auf die Stateful-Tabellen einer
Firewall und erlaubt es Anwendern, in
Echtzeit zu kontrollieren, welche Verbindungen
gerade aktiv sind. Genau wie Top
stellt das Tool die Verbindungen in einer
übersichtlichen Liste dar, die in der Voreinstellung
nach Quelladressen sortiert
ist. Alternativ kann der Anwender die
Informationen auch nach Zieladressen,
Übertragungsprotokollen oder TTL ordnen,
eine inverse Darstellung ist ebenfalls
möglich.
Wenn nicht anders angegeben, aktualisiert
Iptstate seine Anzeige regelmäßig.
Das Intervall übergibt der Nutzer hinter
dem Parameter »‐R«. Ist das nicht gewünscht,
sorgt »‐1« für eine Momentaufnahme
und führt Iptstate genau einmal
aus. In der Iptstate-Liste navigieren Anwender
genau wie in Top. Über einen
Druck auf [B] besteht zudem die Möglichkeit,
die Sortierreihenfolge im laufenden
Betrieb zu ändern.
Zur besseren Orientierung hebt das Tool
die einzelnen Protokolle farblich hervor.
Ist das nicht gewünscht, schaltet die Option
»-c« in den Schwarz-Weiß-Modus.
Verschiedene Filter blenden außerdem gezielt
Einträge aus. Vorgesehen sind Ports,
Protokolle, Quell- und Zieladressen. In
der Standardeinstellung ersetzt Iptstate
IP-Adressen durch Hostnamen. Auf stark
ausgelasteten Systemen ist dies jedoch
nicht empfehlenswert, da die notwendige
DNS-Abfrage zeitintensiv ist. Der Schalter
»-L« deaktiviert den DNS-Lookup.
★★★★★ Wer wissen möchte, welche
Verbindungen eine Firewall gerade offenhält,
für den ist Iptstate ein praktischer
Monitor. Das Tool stellt die erfassten Informationen
optisch ansprechend dar. n
Der Name ist Programm bei diesem Tool.
Mit Argusaugen wacht Monitorix über
Dienste und Ressourcen eines Systems.
Die History und den aktuellen Status erreichen
Anwender über eine Webseite.
Verschiedene Graphen stellen den Systemzustand
übersichtlich dar. Auf Wunsch
alarmiert Monitorix den Anwender, falls
ein Schwellenwert überschritten wird. In
der Voreinstellung beobachtet das Tool
System- und Kernelaktionen, Netzaktivitäten
und »/proc«-Dateisysteme. Optional
observiert es auch Webserver, Proxydienste
oder Datenbanken.
Monitorix besteht aus mehreren Komponenten.
Das Perl-Skript »monitorix«
sammelt als Dienst im Hintergrund die
Daten. Die Webseiten mit den Ergebnissen
erzeugt das CGI-Skript »monitorix.
cgi«. Zudem enthält das Quellarchiv zahlreiche
Helferskripte, die Monitorix etwa
in den System-V-Bootvorgang integrieren.
Ebenfalls dabei sind Konfigurationsbeispiele
für die Nutzung mit Apache, Light
HTTPD und Logrotate.
Die Einrichtung erfolgt über die Datei
»/etc/monitorix.conf«, in der Anwender
die Pfade festlegen und die Logs angeben,
die das Tool im Auge behalten soll.
Die Konfiguration definiert ebenfalls, für
welche Komponenten Monitorix Daten
erfasst. Diese landen im RRD-Format
in dem Verzeichnis »/var/lib/monitorix«,
das CGI-Skript erzeugt daraus die
grafischen Statistiken für die tägliche,
wöchentliche, monatliche und jährliche
Auslastung.
★★★★★ Monitorix ist eine vielseitige
lokale Monitoring-Lösung, die wichtige
Komponenten überwacht und mit einer
umfangreichen und übersichtlichen Darstellung
punktet. (U. Vollbracht/​hej) n

Software
www.linux-magazin.de Bitparade 09/2012
46
Fünf Contentmanagement-Systeme im Test
Früh erfolgreich
Wer wenig Vorwissen und wenig Zeit hat und trotzdem eine Website mit ansprechendem Design will, der
braucht gute Beratung bei der Wahl des Contentmanagement-Systems. Fünf Open-Source-CMS bestechen
durch eine niedrige Lernkurve und versprechen schnellen Erfolg. Carola Heine
© Robert Hainer, 123RF.com
Contentmanagement-Systeme in jeder
Größenordnung und Preislage werben
um die Gunst derer, die Inhalte ins Netz
stellen wollen. Ob komplexe Enterpriseund
Kollaborationslösungen, einfache
Community-Anwendungen mit und ohne
Datenbank, linzenzpflichtige und Open-
Source-Systeme – für jeden ist etwas
dabei. Fragt man einen Webprofi nach
der besten Anwendung für den eigenen
Zweck, wird er meist jene anpreisen, in
die er sich selbst zufriedenstellend eingearbeitet
hat. Das gilt auch dann noch,
wenn ein anderes System längst bessere
Funktionen mitbringt – der Mensch ist
eben ein Gewohnheitstier.
Bevor ein Nutzer sich also für ein neues
CMS auf dem eigenen Webserver entscheidet,
sollte er sorgfältig prüfen, an
welches er sich langfristig binden möchte.
Die Installationsroutine ist in der Regel
nicht ausschlaggebend. Bei den meisten
Systemen wählt der Anwender eine Domain
oder ein Verzeichnis aus und hält
die Zugangsdaten für die (MySQL-)Datenbank
bereit, die im Hintergrund läuft.
Dann entpackt er die aktuelle CMS-Version
und bringt alle Ordner und Dateien
in den Webspace.
Die Installationsdatei rufen Nutzer typischerweise
im Browser auf, erstellen
einen Admin-Account, tragen den Datenbankzugang
ein und bestätigen ihn.
Der frischgebackene CMS-Admin kann
sich nun einloggen und mit dem Default-
Template loslegen.
CMS made simple, Concrete 5, Pivot X,
Redaxo und Wordpress sollten im Test zeigen,
wie schnell Anwender ohne Grundkenntnisse
mit ihnen zu einer neuen Site
gelangen, von der Konzept und Inhalt bereits
bestehen. Neben Funktionsumfang
und der Erweiterbarkeit durch Module
und Plugins stellten die fünf freien CMS
ihre Gestaltungsfähigkeit in Bezug auf
fertige Templates unter Beweis.
Ebenso fragten die Tester nach der Möglichkeit,
eigene Designs zu integrieren,
nach der Suchmaschinen-Freundlichkeit
der Strukturen, nach Social-Media-Integration,
nach Spam-Abwehrmechanismen
und allgemeinen Sicherheitsaspekten sowie
dem Ablauf bei Updates. Als Testrechner
diente ein Standard-LAMP-System
(Linux, Apache, MySQL, PHP), wie
es bei typischen Webhosting-Anbietern
zum Einsatz kommt.
E CMS made simple
Der Name ist Programm: Dieses CMS will
es Anwendern möglichst leicht machen,
professionelle Websites aufzuziehen. Das
moderne und tatsächlich sehr intuitiv zu
bedienende GPL-lizenzierte CMS made
simple [1] ist modular aufgebaut und eignet
sich sowohl für schlichte Websites als
auch für komplexere bis mittelgroße Unternehmenspräsentationen.
Die Projektseite
stellt jeweils zwei Versionen zum
Download bereit: eine Basisvariante, die
nur die englischen Sprachdateien enthält,
und eine vollständige Ausgabe mit allen
verfügbaren Sprachdateien. Zusätzlich
stehen zahlreiche Module und Plugins
unter [2] bereit.
Ein Assistent führt Schritt für Schritt
durch die Installation, so können auch
Einsteiger in wenigen Minuten eine lauffähige
Version mit Dummy-Inhalten online
stellen. Im Test trat Version 1.10.3,
Codename Hyacinthe, an. Um eine Basisinstallation
von CMS made simple zu

www.linux-magazin.de
Bitparade 09/2012
Software
47
Abbildung 1: Eine Standardinstallation von CMS made simple enthält das Modul
»ThemeManager«, über das Anwender eines oder mehrere Themes im- und
exportieren.
Abbildung 2: CMS made simple bietet ein praktisches Feature, über das Anwender
Inhalte oder XHTML-Schnipsel in Seiten und Templates einfügen können.
Diese globalen Inhaltsblöcke verwaltet das CMS im Bereich »Inhalte«.
betreiben, sind nicht mal XHTML- oder
CSS-Kenntnisse erforderlich. Diese benötigen
Anwender erst dann, wenn sie das
Screendesign an eigene Vorstellungen anpassen
möchten. Der erste Testkandidat
verwendet die Template-Engine Smarty
[3], fügt Platzhalter für Inhalte und Navigation
in die XHTML-Layouts ein und
generiert eine Seite, sobald ein Nutzer
diese im Browser öffnet.
Themes steuern das Aussehen der Webseiten.
Sie bestehen aus Templates, Stylesheets
und Bildern, wobei die ersten
beiden Komponenten entweder in der
Datenbank liegen können oder Anwender
sie bei Bedarf als externe Dateien
einbinden. Eine frische Installation liefert
einige einfache Templates und Themes
mit; weitere finden Anwender unter [4].
Diese importieren sie dank des Moduls
»ThemeManager«, das auch eigene Templates
und die damit verbundenen Stylesheets
im XML-Format exportiert (siehe
Abbildung 1).
Bei der Aufbereitung des Inhalts hilft ein
Javascript-basierter Wysiwyg-Editor, der
auch das Umschalten in die Quellcodeansicht
erlaubt. In der Voreinstellung ist
dies Micro Tiny, eine Light-Variante von
Tiny MCE [5]. Nutzer, die lieber in einem
anderen Bearbeitungsprogramm schreiben,
können weitere Editoren als Modul
über »Erweiterungen | ModulManager«
installieren, darunter Ace Editor, Inline
Edit und Tiny MCE selbst. Für sich wiederholende
Bestandteile legen Anwender
eigene Bausteine an, die so genannten
globalen Inhaltsblöcke. Diese fügen sie
in Seiten oder Templates ein, bei Bedarf
auch mehrfach (siehe Abbildung 2).
Aufgestockt
Wie bereits erwähnt: Es gibt für CMS
made simple etliche Module, die den
Funktionsumfang vergrößern. Diese Erweiterungen
stellen komplexe und vielfältig
einsetzbare Anwendungen bereit.
Ein Modul hat im Normalfall einen eigenen
Administrationsbereich und greift auf
ein gut dokumentiertes API zu. Beliebte
Module für den ersten Testkandidaten
sind etwa die Bildergalerie, ein Kalender,
ein Formbuilder für komplexe Formulare
und ein Modul zur Zugriffssteuerung für
geschützte Seiten.
Zudem bringt das Contentmanagement-
System so genannte Tags mit. Einige
sind von Haus aus dabei, etwa »{breadcrumbs}«
(Brotkrumen-Navigation) oder
»{content}«, das den Inhalt der jeweils
aktuellen Seite anzeigt. Es stehen ebenfalls
Tags zur Ausgabe des Datums oder
der letzten Seitenänderung zur Verfügung.
Benutzerdefinierte Tags sind einfache
PHP-Codeschnipsel (ohne »«), die in PHP erstellte Funktionen
an der gewünschten Stelle in einer
Site aufrufen.
Mit CMS made simple erstellte Seiten
erfüllen diverse Kriterien, die für die
Suchmaschinen-Optimierung erforderlich
sind, zumindest was die mitinstallierten
Standard-Templates betrifft. Suchmaschinen-freundliche
URLs heißen bei diesem
System Pretty URLs. Alle Eigenkreationen
sollten Anwender sorgfältig auf saubere
Dokumentstrukturen sowie validen und
schlanken Quelltext prüfen. Relevante
Inhalte beginnen schon bei Seitentitel,
Dateinamen, sinnvollen Überschriften
und aktuellem Content ohne Keyword-
Spamming. Das Benutzerforum bietet
eine spezielle SEO-Gruppe [6], die Tipps
und Tricks verrät.
Das Plugin Social Bookmarking, das Anwender
wie die anderen Erweiterungen
unter [2] finden, spricht bis zu 90 Social-
Media-Plattformen an, darunter natürlich
die populären Dienste Facebook, Twitter,
Linkedin, Myspace und Google+. Im
deutschsprachigen Supportforum gibt es
eine kleine Anleitung dazu, wie man den
Facebook-Button »Like« mit der mitgelieferten
Funktion für kanonische URLs in
CMS made simple umsetzt [7].
Auch zur Beschleunigung von Ladezeiten
bei großem Andrang (Caching) und
zur Spamabwehr greift der erste Testkandidat
auf eine Erweiterung zurück.
Ersteres erledigt das Modul CMS make
faster, fürs Zweite springt Akismet [8]
in die Bresche. Der beliebte Filterservice,
der ursprünglich als Plugin für Wordpress
konzipiert war, schützt als Modul
auch CMS made simple vor Linkspam
und Trackbackspam. Zusätzlich stehen
Hide Email from Bots Tag als Plugin bereit,
um Mailadressen der Website in Bilder
umzuwandeln, und Captchas für die
Kommentarfunktion.
Ein Upgrade zu einer neuen Programmversion
läuft nicht via Admin-Interface,
sondern beinhaltet manuelles Sichern

Software
www.linux-magazin.de Bitparade 09/2012
48
Nach der Installation stehen mehrere
vorinstallierte Designs zur Auswahl.
Ein Klick auf »Customize« neben einem
Theme öffnet einen Editor, der dabei
hilft, die Komponenten des CSS-Stylesheet
anzupassen. Farben und Schriftarten
ändern Nutzer so bequem und ohne
Eingriffe in den Quelltext (siehe Abbildung
4). Alternativ kaufen sie Themes
und Addons auf dem Marketplace des
Herstellers ein [11].
Einige Erweiterungen sind kostenlos, andere
für 15 bis 50 US-Dollar zu haben,
nur selten kostet etwas mehr als 100 US-
Dollar. Der Markt bietet praktische Filter
und sortiert das Angebot nach Preis, Popularität,
Kategorie, Design oder Lernstand
und ​Schwierigkeitsgrad.
Wer tiefer in die Materie einsteigen will,
der sollte die Dokumentation auf der Projekthomepage
heranziehen. Hier finden
Benutzer und Entwickler Anleitungen
zum System selbst, zu Addons, Themes
und Applications sowie ein Glossar. Viele
hilfreiche Artikel zu Concrete 5 bietet
auch das Blog Codeblog.ch, das unter anderem
einen Leitfaden veröffentlicht, wie
Anwender Layouts anpassen, wenn einder
Datenbank und der Dateien aus dem
CMS-Verzeichnis sowie Download und
Entpacken der neuen Version auf den Server.
Danach nimmt das Skript »CMS‐Verzeichnis/install/upgrade.php«
die notwendigen
Änderungen an der Datenbank
vor. War die Aktualisierung erfolgreich,
können Anwender das Verzeichnis »install«
auf dem Server löschen.
Geht es lediglich um das Einspielen eines
Patch, haben Nutzer es etwas leichter
und müssen nur den Inhalt des »diff«-
Archivs auf den Server kopieren. Der Einsatz
eines »upgrade«-Skripts ist in diesem
Fall nicht erforderlich.
E Concrete 5
Der Slogan des zweiten Kandidaten lautet
zu Recht: „Made for Marketing, built for
Geeks.“ Concrete 5 [9] setzt auf Stabilität
und punktet mit einfacher Bedienung.
Benutzer werden die niedrige Lernkurve
lieben, ebenso wie Developer die vielen
flexiblen Anpassungsmöglichkeiten bei
der Entwicklung der Projektumgebung
schätzen. Als Application Framework basiert
das System auf dem leistungsfähigen
ADODB Database Framework [10] und
bietet damit Zugang zu Data Caching auf
Query-Level, Tabellen im XML-Format
und Data Portability. Das unter der MIT-
Lizenz veröffentlichte Tool trat im Test in
Version 5.5.2.1 an.
Zielgruppe des CMS sind Redakteure und
Entwickler von kleinen bis mittelgroßen
Sites und Communities. Laut Aussagen
der Entwickler eignet es sich weniger für
Portale und auch nicht für Applikationen
wie abgesichertes Banking, Microblogging-Communities,
Seiten mit viel Flash-
Inhalt oder große Shops.
Bei der Installation unterscheidet sich
Concrete 5 minimal von den anderen vier
Kandidaten: Als einziges System kann der
Admin es nur in einer leeren Datenbank
installieren. Im Standardumfang sind eine
Slideshow-Funktion, Youtube-Integration,
Flash-Support, Umfragemodule, Abstimmungen,
Suche, Sitemap, RSS, Secure
File Distribution, Google Maps und ein
Tool für die Formularerstellung enthalten.
Flexible Metadaten und Suchmaschinenfreundliche
URLs gehören dazu.
Das CMS startet nach der Installation mit
einem klaren und übersichtlichen zweispaltigen
Look für den Contentbereich
Abbildung 3: Einige Elemente der Website verschieben Nutzer komfortabel per Drag & Drop im Browser an
einen neuen Ort. Welche Bestandteile auf diese Weise wandern können, zeigen die gestrichelten Linien an.
und die Seitenleiste. Die Titelgrafik und
die Navigation befinden sich oben. Das
Default-Template bringt eine fertige Startseite,
eine Seite namens About inklusive
Gästebuch, ein Blog und eine eingebaute
Suchmaske samt Sitemap mit. Trotz des
beachtlichen Funktionsumfangs ist Concrete
5 nicht überladen, der Benutzer
kann sofort loslegen.
Anwender benötigen keine fünf Stunden,
um vorbereitete Inhalte in eine
Concrete-5-Seite einzustellen. Zwar gilt
es zunächst, sich ein oder höchstens zwei
Stündchen einzuarbeiten, danach sollten
aber auch Nutzer ohne technische
Vorkenntnisse in der Lage sein, direkt
im Frontend umfangreiche Seiten zu erstellen.
Dabei helfen die Funktionen, die
der angemeldete Admin über das Menü
»Edit« oben links ausklappt.
Einzelne Bestandteile der Seite kann er
darüber hinaus anklicken und direkt
bearbeiten, kopieren, mit der Maus per
Drag & Drop verschieben oder löschen
(Abbildung 3). Der berühmte Baukasten
„Zur eigenen Website in 10 Minuten“
großer Provider hat damit einen ernst zu
nehmenden Konkurrenten.
Fortgeschrittene Funktionen und Konfigurationseinstellungen
erreichen Nutzer
auch beim zweiten Testkandidaten über
das Dashboard, das sie per Mausklick
auf den gleichnamigen Link rechts oben
öffnen. Neue Seiten und Artikel entstehen
im Composer, Sitemap und Dateimanager
haben eigene Sektionen. Auch
die Benutzer- und Gruppenverwaltung
sowie verschiedene Protokolle erreichen
Admins dort.
Weniger ist mehr

Abbildung 4: CSS leicht gemacht: In diesem praktischen Editor bestimmen Nutzer die Farbe ihrer Website,
wie Hintergrund und Links aussehen und die verwendeten Fonts.
fache Veränderungen am CSS-Code nicht
ausreichen [12], beispielsweise weil das
Default-Template nicht für Suchmaschinen
optimiert ist.
Auch Concrete 5 integriert Social-Media-
Funktionen über ein Addon. Socializer
ist über den Marketplace erhältlich und
fügt Symbole der Dienste Google+,
Facebook, Twitter, Linkedin und so weiter
zu den Seiten hinzu. Das Addon erweitern
Benutzer auf Wunsch um eigene
Netzwerke.
Dieser Testkandidat bringt von Haus aus
ein Cachingsystem mit und nutzt dazu
den Manager des Zend-Framework [13].
Spam bekämpft das Addon Defensio, das
Anwender wiederum im Marketplace finden.
Es filtert nicht nur Spam in Kommentaren,
sondern auch Bots, die eine
Site nach Mailadressen durchsuchen und
schädliche Skripte einzufügen versuchen.
Das Gästebuch der About-Seite und die
Kommentarfunktion für das Blog sind
in der Voreinstellung durch Captchas
geschützt. Upgrades können Admins
im laufenden Betrieb durchführen. Das
Dashboard bietet dazu im Bereich »System
& Settings« eine eigene Abteilung.
E Pivot X
[14] mit seinen statischen Strukturen galt
damals wie heute als echte Alternative,
auch wenn das System ohne Datenbank
buchstäblich Hunderte von HTML-Seiten
und Zusatzdateien für jedes Blog und
jede Site generiert.
Das unter der GPLv2 veröffentlichte CMS
bietet Benutzern nach wie vor eine Flat-
Files-Installation ohne MySQL an. PHP
ist aber in jedem Fall Voraussetzung. Der
Vorteil einer Instanz ohne Datenbank:
schnellere Ladezeiten und unkomplizierte
Backups. Pivot X auf Basis von MySQL ist
für größere Projekte allerdings immer die
bessere Wahl, denn es ermöglicht eine
ausgefeiltere Suche und bietet generell
mehr Flexibilität. Wer die Flat-Files-Version
wieder in eine Datenbank-basierte
Ausgabe umwandeln möchte, der findet
unter [15] ein Importskript.
Im Test trat Version 2.3.3 an. Die jeweils
aktuelle Version ist im Downloadbereich
unter »pivotx_latest.zip« verlinkt. Um
Pivot X in einer anderen Sprache als
Englisch zu betreiben, laden Anwender
die kompilierten Sprachdateien (Datei-
Endung ».mo«) von [16] herunter und
speichern sie im Ordner »pivotx/langs«
auf dem Webserver.
In einer einzigen Installation verwaltet Pivot
X mehrere Weblogs, die alle getrennt
konfigurierbar sind und unterschiedliche
Sprachen, Themes, Kategorien und RSS-
Feeds haben können. Der Admin richtet
auf Wunsch für jede Site eigene Redakteurszugänge
mit unterschiedlichen
Rechten ein.
Für das Anlegen der Artikel steht Nutzern
der Wysiwyg-Editor Tiny MCE [5]
zur Verfügung. Alternativ geben sie
(X)HTML-Code von Hand ein (Abbildung
5). Bilder, Popups, Downloadlinks
Bitparade 09/2012
Software
www.linux-magazin.de
49
Der dritte Kandidat hat niederländische
Wurzeln und ist bereits seit 2001 auf dem
Markt, als Webspace mit Datenbankanbindung
noch relativ teuer war. Pivot X
Abbildung 5: Pivot X setzt auf den Wysiwyg-Editor Tiny MCE. Ein Klick auf den HTML-Knopf zeigt den Quellcode
von Seiten und Artikeln in einem Popup-Fenster.

Software
www.linux-magazin.de Bitparade 09/2012
50
Download und Entpacken des jeweiligen
Zip-Archivs. Dabei sollten sie darauf achten,
die drei Verzeichnisse »images«, »pivotx/db«
und »pivotx/templates« nicht
zu überschreiben beziehungsweise eine
Sicherungskopie von diesen anzulegen
und nach der Neuinstallation zurückzuspielen.
Die Entwickler bieten außerdem
ein Skript an, das Wordpress-Seiten importiert.
Hinweise zur Konvertierung von
Wordpress nach Pivot X gibt die Dokumentation
[17].
E Redaxo
Abbildung 6: Über das Dashboard erreichen Admins im Bereich »Wartung« die mitgelieferten Antispam-
Maßnahmen. Ein allgemeines oder auf einzelne Benutzer zugeschnittenes Quiz ist schnell eingerichtet.
und andere Dateien binden Anwender
direkt bei der Erstellung der Seiten ein,
ohne den Editor verlassen zu müssen. Pivot
X setzt genau wie CMS made simple
auf die Template-Engine Smarty [3], die
nicht nur für die Seiten selbst, sondern
auch im Admin-Interface zum Einsatz
kommt. Smarty fügt außerdem passende
Javascript-Codeschnipsel ins Webprojekt
ein, wenn Nutzer Popups oder Widgets
integrieren.
Etwas unhandlich ist es, neue Themes
einzurichten. Diese laden Admins als Zip-
Datei von der Projektseite herunter und
entpacken sie im Verzeichnis »pivotx/
templates« auf dem Webserver – direkt
über das Dashboard einen neuen Look
herunterladen gelingt nicht.
Auf Umwegen
Erweiterungen holen sich Anwender
ebenfalls als Zip-Datei von der Pivot-X-
Webseite (Abteilung »Extensions«). Sie
entpacken das Archiv dazu im Verzeichnis
»pivotx/extensions«. Auf diese Weise
rüsten sie beispielsweise Suchmaschinenfreundlichkeit
nach. Die Erweiterung SEO
(Search Engine Optimization) ermöglicht
es, die »meta«-Tags einer Website schnell
und komfortabel zu verwalten. Sie fügt
die entsprechenden Tags auch gleich zu
allen Unterseiten hinzu.
Die Startseite und andere Seiten haben
generische Tags, die Artikel spezifische,
an die Seite angepasste. Benutzer dürfen
Standard-Tags definieren, die auf Seiten
ohne Blogeinträge zum Einsatz kommen,
und eigene Tags zusätzlich zu den automatisch
generierten einsetzen. Außerdem
erlaubt es Pivot X, Copyright-Text, Dublin-Core-Tags
sowie weitere freie Formate
und »meta«-Tags einzurichten.
Zur Einbindung von Social-Media-Funktionen
schauen sich Anwender ebenfalls
auf der Extensions-Seite um. Dort gibt
es unter anderem ein Lifestream-Widget
(zeigt letzte Tweets, Erwähnungen
auf Twitter, Last.fm-Songs und Flickr-
Uploads an), den Facebook-Like-Button
(fügt eine Schaltfläche »Like« zu Seiten
und Artikeln hinzu) und einen Twitter-
Button (Besucher können Links zu Seiten
und Blogeinträgen auf Twitter posten) im
Angebot.
Dieser Testkandidat bringt ebenso wie
Concrete 5 ein eigenes Cachingsystem
mit. Optionen dazu finden Admins im
Dashboard in den allgemeinen Einstellungen.
Spamabwehr berücksichtigt
Pivot X von Haus aus. Hashcash und
ein Spamquiz sind bereits in der Basisinstallation
enthalten und schnell aktiviert
beziehungsweise eingerichtet (siehe
Abbildung 6). Bekannte Sicherheitslücken
und entsprechende Patches finden
Anwender auf der Projektseite im Bereich
»Security«.
Ein Updatemechanismus ist nicht über
das Dashboard erreichbar. Neue Versionen
installieren Administratoren nach
dem Backup wiederum händisch über
Das modular aufgebaute Redaxo [18]
zielt auf kleine bis mittelgroße barrierefreie
Sites auch mit höheren Besucherzahlen.
Das Open-Source-CMS ist bereits
seit 1999 auf dem Markt. Die Macher verbessern
und erweitern es stetig, um den
wachsenden Anforderungen an modernes
Webdesign erfolgreich standzuhalten
– die über 1760 auf der Projektseite
genannten Referenzinstallationen zeugen
davon, dass den Entwicklern dies auch
zufriedenstellend gelingt.
Bis einschließlich Version 4 stand Redaxo
unter der GPL; mit der kommenden Version
5 stellen die Entwickler es unter die
MIT-Lizenz. Redaxo 5 auf Basis von PHP
5.3 ist bereits seit einiger Zeit in Arbeit.
Die Neuauflage hat vor allem das Ziel,
viele Altlasten abzuwerfen und Updates
direkt aus dem Admin-Interface heraus
zu ermöglichen. Im Test ging Version
4.3.3 an den Start.
Das Contentmanagement-System ist in
zehn Minuten betriebsbereit – wenn sich
der Anwender auf die reine Basisinstallation
ohne weitere Ergänzungen beschränkt.
Erweiterungen sind allerdings
praktisch unumgänglich bei Redaxo,
und so werden aus den zehn Minuten
schnell fünf bis acht Stunden, denn vom
Newsletter über das Blog bis hin zur
Brotkrumen-Navigation setzt das CMS
auf Module.
Auf ein grafisch überladenes Backend
verzichtet Redaxo. Die schlanke Basisinstallation
konzentriert sich auf das
Wesentliche, daher haben Benutzer mit
Grundkenntnissen in (X)HTML und PHP
schneller Erfolgserlebnisse zu erwarten
als blutige Anfänger. Als der größte
Pluspunkt des vierten Testkandidaten erweist
sich die absolute Kontrolle über die

Qualität des Quellcodes. Sauberes CSS,
barrierefreie Seiten und eine bis ins Detail
kontrollierbare Ausgabe von Daten
im Browser sind erreichbar. Mit diesem
CMS ist es möglich, die Seiten – wenn
erforderlich – mit Addons anzupassen,
was besonders dann zum Tragen kommt,
wenn eine Site bis ins letzte Detail barrierefrei
sein soll.
Redaxo setzt für das Verfassen von Artikeln
und Seiten auf Textile ([19], Abbildung
7). Die Textauszeichnungssprache
stellt entsprechend aufbereitete Textblöcke
bereit und wandelt den formatierten
Text in validen XHTML-Quelltext um. Das
vereinfachte Markup erinnert an Wiki-
Syntax und versucht auch für Laien leicht
verständlich zu sein. Die Formatierung erfolgt
über bestimmte Abkürzungen oder
Zeichen, Anwender zeichnen mit ihnen
Zeilenumbrüche, Absätze, Überschriften,
Links und vieles andere aus. Wer
sich nicht in Textile einarbeiten möchte
oder einen Wysiwyg-Editor bevorzugt,
der kann etwa auf Tiny MCE ausweichen
und diesen als Addon einbinden.
Roter Faden
Abbildung 7: In der Voreinstellung liefert Redaxo keinen Wysiwyg-Editor mit, sondern setzt für das Verfassen
der Artikel und Seiten auf Textile und vorgefertigte Textblöcke.
Das Admin-Interface von Redaxo ist
klar strukturiert und punktet mit Übersichtlichkeit.
In der Strukturverwaltung
schrei ben, verändern und löschen die
Anwender Artikel oder Seiten, wählen
Templates für diese aus und schalten
Elemente online und offline. Ein Klick
auf »Medienpool« öffnet ein Popup, hier
laden sie Dateien auf den Server (Skripte,
Stylesheets, Videos, Bilder, Dokumente
und so weiter). Aus dem Medienpool heraus
bestimmen sie auch Attribute wie
Linktitel oder Alternativtext.
Über die linke Leiste sind Benutzerverwaltung
und Rechtevergabe erreichbar.
Redaxo bietet ein ausgefeiltes System
und kann beispielsweise die Templates
und Module für Redakteure ohne Programmierkenntnisse
sperren, den Medienpool
aber freischalten. Außerdem ist
es möglich, in der Strukturverwaltung
bestimmte Kategorien und Artikel freizugeben
oder die Bearbeitung von Seiten
zu sperren.
Weitere Features integriert das CMS über
Module und Addons. Es bringt bereits
von Haus aus einige System-Addons mit,
die Anwender nur noch per Klick installieren
und aktivieren müssen. Andere
laden sie über den Downloadbereich
der Webseite herunter, entpacken sie
im Verzeichnis »redaxo/include/addon«
und installieren und aktivieren sie über
das Admin-Interface. Zu den beliebten
Addons gehören Newsletter, Formularfunktionen,
Gästebuch, Blog, Brotkrumen-Navigation,
Sitemap, RSS-Reader,
Such- und Statistikfunktionen. Besonders
interessant für Webentwickler ist die Erweiterung
»AddonDeveloper2« [20] von
Gregor Harlan, mit der Nutzer Module,
Templates und Aktionen direkt über das
Dateisystem in ihrem bevorzugten Editor
bearbeiten.
Module benötigt Redaxo, um die Artikel
mit Inhalt zu füllen. So ermöglicht
Abbildung 8: Das »Headline«-Modul erlaubt es, Überschriften einzugeben. In diesem Bereich passen Administratoren
die Textbausteine an oder löschen nicht länger benötigte.
Bitparade 09/2012
Software
www.linux-magazin.de
51

Software
www.linux-magazin.de Bitparade 09/2012
52
»Headline« zum Beispiel, eine Überschrift
einzutippen (siehe Abbildung 8), und
über »Bildergalerie« gibt ein Redakteur
eine Auswahl von Grafiken vor, die in
einer Galerie auftauchen. Nach einer Redaxo-Installation
ist die Liste der Module
zunächst leer, Admins erstellen die Module
entweder selbst oder laden sie aus
dem Downloadbereich herunter. Möchte
ein Administrator selbst einen solchen
Baustein definieren oder anpassen, verwendet
er Redaxo-Variablen. Erklärungen
bietet die Dokumentation auf der
Projektseite.
Templates bestimmen auch bei diesem
Testkandidaten das Layout von Seiten
und Artikeln. Sie definieren die generelle
Struktur des Artikels samt der Navigation.
Es ist möglich, »meta«-Tags, Stylesheets
und Javascript einzubinden. Templates
können Nutzer nicht nur für Artikel
und Seiten auswählen, sondern auch
in andere Templates einbinden. Hilfe zu
diesem komplexen Thema sowie ein Videotutorial
vermittelt das Benutzerhandbuch
auf der Redaxo-Webseite.
Suchmaschinen-freundliche URLs beziehungsweise
sprechende Dateinamen und
‐pfade, individuelle Titel für Artikelseiten,
Formatierung der Überschriften von
H1 bis H4 und Brotkrumen-Navigation
setzen Anwender mit Redaxo schnell
und komfortabel um. URLs, die nach den
Kategorien und Artikeln benannt sind,
erzeugt das Addon Realurl. Außerdem gehören
Sitemaps und Textlink-Navigation,
»alt«- und »title«-Tags sowie Optimierungsmöglichkeiten
des Quelltextes zum
Standardumfang. Stimmt die Qualität der
Texte, bereiten Nutzer Redaxo-Sites optimal
für Suchmaschinen auf und erstellen
mehrsprachige Webseiten.
Informationen zu Kategorien und Artikeln
ermittelt Redaxo nicht über SQL-
Anfragen, sondern liest sie aus Dateien.
Diese legt das CMS automatisch an und
stellt sie in den Ordnern »articles«, »files«
und »templates« im Verzeichnis »redaxo/
include/generated« für eine schnelle Ausgabe
bereit. Im Admin-Interface erreichen
Nutzer über »System« eine Funktion, um
den Cache zu löschen. Redaxo erstellt
daraufhin die Informationen zu Artikeln,
Dateien und Templates neu. Bei den Social-Media-Diensten
sieht es eher mau
aus, auch die Suchfunktion der Addon-
Seite schweigt sich dazu aus.
Abbildung 9: Ins Wordpress-Dashboard integriert ist eine praktische Suchfunktion für neue Themes. Mit nur
wenigen Mausklicks bestimmen Anwender ihre Vorlieben und filtern das Angebot.
Wer hingegen sein Redaxo-System gegen
Spam und Bots absichern möchte,
der wird im Downloadbereich fündig.
Von dort laden Nutzer barrierefreie
Captcha-Alternativen, E-Mail-Scrambler
und Spamfilter herunter. Ein Update ist
derzeit nicht aus dem Admin-Interface
heraus möglich; das Feature soll aber mit
Version 5 Einzug halten.
Wer ein Redaxo-System aktualisieren
möchte, der sollte die alte Seite exportieren
(zum Beispiel mit Hilfe der Erweiterung
»Im-/​Export«), die neue CMS-
Version in einen leeren Ordner auf dem
Webserver installieren und die Daten der
Vorgängerversion importieren. Die Entwickler
raten davon ab, eine alte Version
einfach zu überspielen.
E Wordpress
Das 2004 veröffentlichte CMS startete
bereits 2001 als reine Blogsoftware unter
dem Namen B2/​Cafelog. Im Laufe der
Jahre bauten die Entwickler Wordpress
[21] immer weiter aus. Inzwischen verwaltet
es auch statische Seiten außerhalb
des Weblogs und hat sich damit zum vollwertigen
Contentmanagement-System
gemausert. Das unter der GPL veröffentlichte
System gehört zu jenen Vertretern,
mit denen Anwender auch ohne tiefere
Kenntnisse der Materie innerhalb weniger
Stunden eine schöne Website mit allen
wesentlichen Features aufsetzen. Soll
sie fortgeschrittene Funktionen aufweisen,
besteht die Hauptarbeit in der Suche
und Integration der passenden Plug ins
und Widgets.
Wordpress erstellt schlichte einspaltige
Blogs und Portale mit dem Magazinstyle-
Template. Mittelgroße Sites verwaltet es
ebenso wie Blogs mit hohen Besucherzahlen.
Auch multiple Weblogs verwalten
Anwender mit dem entsprechenden
Modul in einer Installation. Für Wordpress
als CMS spricht vor allem seine
große Popularität. Das System ist so weit
verbreitet, dass die Weiterentwicklung
und nützliche Erweiterungen garantiert
sind; ein wachsender Markt für Templates
und Themes zeugt davon.
Gegen Wordpress spricht seine Popularität
allerdings auch, denn von Sicherheitslöchern
sind immer gleich Millionen
von Sites betroffen. Ein mit Wordpress
verwaltetes Blog sollten Admins lieber
nicht unbeaufsichtigt lassen. Denn vergessen
sie ein Update, riskieren sie eine
Invasion von Spammern und Phishern.
Zudem müssen sie bei jeder neuen Version
darauf hoffen, dass die vielen Plugins
und Widgets noch funktionieren oder
ebenfalls nachgezogen sind. Je komplexer
und besser eine Wordpress-Site ausgestattet
ist, desto größer ist meist das

Heulen und Zähneklappern bei großen
Versionssprüngen. Im Test trat die Version
3.4.1 an.
Die Vorteile überwiegen jedoch bei Weitem.
Wer sich nicht mit der Installation
aufhalten möchte, der findet bei den
meisten Webhosting-Anbietern ein vorinstalliertes
Wordpress im Angebot. Im
Dashboard orientieren sich auch Neulinge
schnell. Übersichtlich angeordnet
sehen sie zunächst Inhaltliches, etwa
Artikel, Mediathek, Links (Blogroll), Seiten,
und Kommentare. Darunter sind die
Konfigurationsmöglichkeiten zu finden.
Wordpress unterteilt zwischen Design,
Plugins, Benutzerverwaltung, Werkzeugen
und allgemeinen Einstellungen.
Hilfsbereit
Der fünfte Kandidat punktet mit einer
wirklich guten Theme-Verwaltung. Mit
nur drei Klicks ändern Nutzer das Screendesign
ihrer Seite und im Dashboard suchen
sie komfortabel nach alternativen
Looks – entweder per Schlüsselwort oder
nach Farben, Spaltenanzahl und anderen
Merkmalen sortiert (Abbildung 9).
Im Netz warten zudem Tausende von
kostenlosen oder preiswerten Wordpress-
Templates für jeden denkbaren Zweck,
für jede Branche und Stilrichtung.
Wordpress-Installationen beziehungsweise
deren Inhalte harmonieren ohne
viel Zusatzaufwand herausragend mit
Suchmaschinen. Anwender können außerdem
ausgetüftelte SEO-Plugins ergänzen,
mit denen sie jedes noch so kleine
Detail optimieren. Das Netz wimmelt nur
so von Tutorials und hilfsbereiten Wordpress-Fans,
die bereitwillig Auskunft und
Tipps geben.
Wer neue Plugins sucht, geht ins gleichnamige
Menü im Dashboard und nimmt
die dort integrierte Suchmaske oder die
Schlagwort-Wolke zu Hilfe. Eine Bewertungsfunktion
hilft darüber hinaus bei
der Entscheidung. Auf diese Weise ergänzen
Benutzer in Windeseile Social-Media-
Funktionen, Statistiken, Wetterberichte
und vieles mehr.
Der Testkandidat liefert eine eigene
Caching-Funktion mit; zusätzlich steht
jede Menge Plugins zur Optimierung bereit.
Von Haus aus bringt das CMS das
ausgeklügelte Akismet [8] zur Spamabwehr
mit. Anwender finden es im Bereich
»Installierte Plugins« und aktivieren es
dort auch. Auch bei der Konfiguration
hilft das Dashboard und erlaubt es, direkt
den API-Schlüssel einzugeben.
Wie erwähnt stehen für Wordpress recht
häufig Aktualisierungen an, und zwar
nicht nur für das CMS selbst, sondern
auch für Plugins, Widgets und Themes.
Die Software macht im Dashboard darauf
aufmerksam, hebt den Versionshinweis
farblich abgesetzt hervor und zeigt die
Anzahl der wartenden Updates als Ziffern
an. Die meisten Updates laufen problemlos
aus dem Interface heraus, benötigen
im Hintergrund aber einen FTP-Server
Bitparade 09/2012
Software
www.linux-magazin.de
53

Software
www.linux-magazin.de Bitparade 09/2012
54
Abbildung 10: Auf Aktualisierungen des CMS selbst, seiner Plugins, Widgets und Themes macht Wordpress
deutlich aufmerksam. Damit das automatische Update aus dem Dashboard heraus klappt, braucht das System
einen FTP-Server.
auf dem Webserver. Alternativ bietet das
System auch immer die neueste Version
zur manuellen Installation an (siehe Abbildung
10).
Eile mit Weile
Popularität und weite Verbreitung können
durchaus ein Argument gegen ein
Contentmanagement-System sein. So ist
Wordpress aufgrund der großen Beliebtheit
immer dann ein Sicherheitsrisiko,
wenn ein Admin die häufig erscheinenden
Updates nicht regelmäßig durchführt.
Wer also im Wesentlichen statische Seiten
im WWW anbieten möchte und seine
Inhalte vielleicht nur alle paar Monate
aktualisiert, der ist mit CMS made simple,
Concrete 5 oder Redaxo besser beraten.
Um deren technische Basis muss er sich
nicht ganz so häufig sorgen.
Alle Systeme erlauben die Integration
eigener Designs und eine individuelle
Gestaltung der Websites. Beim Anpassen
von (X)HTML- und CSS-Dateien unterscheiden
sich die Kandidaten allerdings
in puncto Einarbeitungszeit.
CMS made simple und Concrete 5 sind
klein, fein und in sich stimmig. Auch
Einsteiger kommen mit diesen Systemen
schnell ans Ziel und klicken eine ansehnliche
Internetpräsenz zusammen.
CMS made simple bringt zusätzlich zur
Blog-ähnlichen Default-Installation ein
Design mit mehrstufiger Navigation mit,
das auch gleich das Handbuch enthält.
Concrete 5 wiederum ist unschlagbar,
wenn es um die Einrichtung geht, bietet
schnelle Erfolgserlebnisse, ohne dass Anwender
Plugins für Sitemap, Gästebuch
und Blog nachrüsten müssen – und ist
daher der Testsieger.
Pivot X ist der Exot unter den Testkandidaten
und sehr interessant für alle, die
ohne Datenbank auskommen müssen
oder wollen. Allerdings gibt es nur drei
Dutzend fertige Templates und auch die
Erweiterungen können mit Systemen wie
Wordpress nicht mithalten.
Redaxo steht vor einem Entwicklungssprung
zur völlig überarbeiteten Version
5 und erfordert dann vermutlich eine erneute
Einarbeitung. Für Wordpress gibt
es unzählige fertige Templates und Erweiterungen,
was einerseits eine ganz
individuelle Gestaltung ermöglicht, andererseits
aber auch ein echter Zeitfresser
ist – zu schnell verirren sich Neulinge im
Themes- und Plugin-Dschungel.
Alle Kandidaten bringen Anwender in
kurzer Zeit mit ihrem Standard-Template
zu einem zufriedenstellenden Ergebnis.
Für welches System sich ein Nutzer entscheiden
sollte, hängt daher vor allem
von den persönlichen Vorlieben in Bezug
auf das Backend ab: Wirklich erfolgreich
arbeitet man langfristig nur mit einem Interface,
das sich intuitiv erschließt. Zum
unverbindlichen Testen lädt die Webseite
unter [22] ein. Hier stehen Online demos
von rund 280 freien Contentmanagement-
Systemen bereit – mit dabei die fünf Testkandidaten.
(hej)
n
Infos
[1] CMS made simple:
[http:// www. cmsmadesimple. org]
[2] Erweiterungen und Skripte für CMS made
simple: [http:// dev. cmsmadesimple. org/​
project/ list]
[3] Template-Engine Smarty:
[http:// www. smarty. net]
[4] Themes für CMS made simple:
[http:// themes. cmsmadesimple. org]
[5] Tiny MCE: [http:// www. tinymce. com]
[6] SEO-Gruppe im CMS-made-simple-Forum:
[http:// forum. cmsmadesimple. org/​
viewtopic. php? f=61& t=38771]
[7] »Gefällt mir« für CMS made simple:
[http:// forum. cmsmadesimple. de/​
viewtopic. php? id=849]
[8] Akismet: [http:// akismet. com]
[9] Concrete 5: [http:// www. concrete5. org]
[10] ADODB Database Framework:
[http:// adodb. sourceforge. net]
[11] Marketplace für Concrete 5:
[http:// www. concrete5. org/ marketplace]
[12] Concrete-5-Templates anpassen:
[http:// www. codeblog. ch/ 2009/ 03/​
concrete5‐templates]
[13] Cachemanager des Zend-Framework:
[http:// framework. zend. com/ manual/ en/​
zend. cache. cache. manager. html]
[14] Pivot X: [http:// pivotx. net]
[15] Importskript für Pivot X: [http:// pivotx.​
net/ files/ misc/ import_pivot. php. zip]
[16] Sprachdateien für Pivot X:
[http:// pivotx. net/ files/ translations]
[17] Pivot-X-Handbuch:
[http:// book. pivotx. net]
[18] Redaxo: [http:// www. redaxo. org]
[19] Textile:
[http:// textile. thresholdstate. com]
[20] »AddonDeveloper2« für Redaxo:
[http:// www. redaxo. org/ de/ wiki/ index.​
php? n=R4. AddonDeveloper2]
[21] Wordpress: [http:// de. wordpress. com]
[22] Open-Source-CMS online testen:
[http:// www. opensourcecms. com]
Die Autorin
Carola Heine ist IT-Journalistin und Webentwicklerin.
Sie bloggt seit 1996 über alles, was das Web
bewegt: [http://www.blogwork.de]

Aus dem Alltag eines Sysadmin: Geo-IP-Lookup
Land in Sicht
Einführung 09/2012
Sysadmin
Das globale Dorf ist groß genug, um herausfinden zu wollen, wo Freund und Feind ihre Bauernhäuser stehen
haben. Eine kleine IP-basierte Länderkunde. Charly Kühnast
Inhalt
56 Zentyal
Das fehlte bislang: Ein alles umfassendes
grafisches Systemmanagement für
Ubuntu Server.
64 I-doit
IT-Inventarisierung mit Stärken bei Objekt-Verbindungen
und kaufmännischen
Funktionen.
Alle populären Distributionen haben ein
oder mehrere Paket(e) an Bord, die das
Heimatland einer IP-Adresse ermitteln.
Auf meinem Test-Ubuntu nehme ich dafür
die Pakete »geoip‐bin« und »geoip‐database«.
Ab sofort gibt es auf der Kommandozeile
die Befehle »geoiplookup«
und für IPv6-Adressen »geoiplookup6«.
Als Parameter erwartet der Befehl natürlich
die IP-Adresse oder einen Namen:
$ geoiplookup linuxfoundation.org
GeoIP Country Edition: US, United States
Für die meisten Zwecke reicht mir die Zuordnung
der IP-Adresse zu einem Land:
Meine Spamfilter ermitteln auf diese
Weise täglich die Top 5 der Länder, aus
denen am meisten Müllmail kommt. In
Abbildung 1 ist es Deutschland, aber das
dürfte daran liegen, dass ich den Screenshot
an einem Sonntag gemacht habe.
Unter der Woche ist Deutschland nur extrem
selten in den Top 5 zu finden.
Wer eine höhere Auflösung
braucht, also
die IP-Adresse nicht
nur einem Land, sondern
einer Stadt, Region
oder Organisation
zuordnen möchte,
greift auf Geo-IP-Daten
kommerzieller
Anbieter zurück. Das
äußert sich auf ein
abermaliges »geoiplookup
linuxfoundation.org
« etwa so:
GeoIP Country Edition:U
US, United States
GeoIP City Edition, Rev 1: US, OR, Medford,U
N/A, 42.326500, ‐122.875603, 813, 541
GeoIP ASNum Edition: AS3701 Oregon JointU
Graduate Schools of Engineering
Für Webserver gibt es das Modul »libapache2_mod_geoip«.
Damit schicke ich
Benutzer anhand ihrer Herkunft zum
passend lokalisierten Bereich der Site.
Länder-Weiche
Dazu füge ich in der »httpd.conf« die
folgenden Zeilen ein:
GeoIPEnable On
GeoIPDBFile /usr/share/geoip/geoip.dat
Den Pfad muss der Webserver-Admin
gegebenenfalls noch anpassen. In meine
».htaccess«-Datei hinein schreibe ich
noch die Zeilen aus Listing 1.
Die Genauigkeit der Geodaten reicht fast
immer aus, zumindest auf Länderebene.
Ausnahmen bestätigen die Regel. Mobilfunkprovider
routen den HTTP-Verkehr
ihrer Kunden gerne durch Zwangsproxys.
Je nach Netzauslastung steht ein solcher
auch schon mal im benachbarten Ausland,
was zu vermeintlichen Flüchtlingsströmen
führt. (jk)
n
Der Autor
Charly Kühnast administriert
Unix-Syste me im Rechenzentrum
Niederrhein. Zu seinen
Aufgaben gehören Sicherheit
und Verfügbarkeit der
Firewalls und der DMZ.
© Alexander Makarov, 123RF.com
www.linux-magazin.de
55
Listing 1: ».htaccess«
01 #IP‐Adresse aus .de
02 RewriteEngine on
03 RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^DE$
04 RewriteRule ^(.*)$ http://www.example.com/de
05
06 #alle anderen auf die englische Seite:
Abbildung 1: Deutschland ist Weltmeister! Zumindest an diesem denkwürdigen Sonntag und für Charlys
Antispam-System mit eingebautem Geo-IP-Lookup.
07 RewriteEngine on
08 RewriteRule ^(.*)$ http://www.example.com/en/

Sysadmin
www.linux-magazin.de Zentyal 09/2012
56
Zentyal macht Ubuntu zum Small Business Server
Ubuntu bedienbar
Ein vorkonfektioniertes Rundum-sorglos-Paket für Admins kleiner Unternehmen: Wem ein Server reicht, der
erhält praktisch alles, was Linux an Diensten bietet, inklusive eines handlichen und umfassenden Web-GUI. Das
Linux-Magazin hat die Software, die mit Unterstützung von Canonical antritt, getestet. Martin Loschwitz, Markus Feilner
© Vitaliy Shabalin, 123RF.com
Admins in großen IT-Unternehmen sind
es gewohnt, für alltägliche Aufgaben
ein ganzes Arsenal an Hilfswerkzeugen
vorzuhalten. FAI [1], Kickstart [2] oder
Autoyast [3] statten neue Hosts automatisch
mit einem Betriebssystem aus,
Puppet [4], Chef [5] oder ein anderes
Orchestrierungswerkzeug weist ihnen
ihre Rolle im Netz zu.
Die Integration ins firmenweite Monitoring
passiert entweder automatisch oder
der Admin erledigt es mit ein paar Mausklicks
im Webinterface, weil er vorher
entsprechende Templates definiert hat.
Viele Server und Clients laufen in der
Cloud, ums eigentliche Netzwerk kümmert
sich ein eigenes Team, das auf Bitte
die entsprechenden Daten wie IP-Adresse
und Gateway übermittelt.
Deutlich weniger rosig gestaltet sich der
Alltag für Admins in kleinen Firmen und
im unteren Mittelstand. Ist die IT nur
ein Mittel zum Zweck, sozusagen ein
Werkzeug unter vielen, dann leistet sich
die Firma in aller Regel weder eine Sysop-
Armada noch ein umfangreiches Konfigurationsframework.
Meist kümmert sich ein Angestellter eher
nebenbei um die IT, in seltenen Fällen
steht ein einzelner Mitarbeiter mit Poweruser-Fähigkeiten
für die Unternehmens-
IT bereit und betreut den einzigen Server,
den das Unternehmen betreibt. Oft ist
dann Ubuntu Server das Linux der Wahl,
weil es fünf Jahre Support genießt und
nichts kostet.
Der Poweruser-Admin
Doch im Ernstfall muss sich der Mitarbeiter
meist in die Untiefen der Systemintegration
stürzen, schlimmstenfalls erst
in die Syntax der Konfigurationsdateien
einarbeiten und Dienste wie Firewall,
Mailserver, Webserver oder Groupware-
Lösungen aufsetzen. Ubuntu bietet zwar
fertige Pakete an, aber allein schon die
Konfigurationsarbeit, die beispielsweise
ein gut funktionierender Mailserver hervorruft,
ist beachtlich, vor allem wenn
er auch angenehme Features wie Antispam-Mechanismen
oder Virenscanner
mitbringen soll.
Mit seinem Produkt Small Business Server
(SBS, [6]) hat Microsoft unter Beweis
gestellt, wie man sich als Softwarelieferant
für solche Unternehmen interessant
macht: Der SBS bietet die wichtigsten
Dienste für kleine und mittelständische
Unternehmen, lässt sich verhältnismäßig
leicht installieren und konfigurieren und
ruft danach meist nur wenig Wartungsaufwand
hervor.
Genau diese Zielgruppe bedient seit einigen
Jahren die spanische Firma E-Box
Solutions. Ihr Ziel ist, kleinen und mittelgroßen
Firmen eine echte Alternative
zum SBS auf der Grundlage von freier
Software und Ubuntu Server anzubieten.
Seit 2011 firmiert das Produkt unter dem
Namen Zentyal [7].
E-Box zu Zentyal
Ganz neu ist das Konzept von Zentyal
nicht: Vor Jahren schon gab es E-Box-
Pakete als Download für Ubuntu [8]. Sie
integrierten sich in eine Basisinstallation
des Canonical-Linux und erweiterten das
System insbesondere um ein umfassendes
GUI und diverse Skripte, die dem
Admin im Hintergrund die Arbeit abnehmen.
Seit damals hat sich allerdings
DELUG-DVD
DELUG-DVD
Auf der DVD dieses Magazins
finden Sie Zentyal als ISO-Image und als von
der DVD startbare virtuelle Maschine.

Abbildung 1: Wer die Festplatte nicht selbst partitionieren möchte, greift
zur Option »delete all disk« und muss sich um fast nichts mehr kümmern.
einiges an der Lösung geändert, denn
jetzt stellt der Hersteller nicht nur Pakete
für Ubuntu zur Verfügung, sondern ein
fertiges Installations-Image, das sich auf
x86- oder AMD64-Rechnern installieren
lässt (als ISO- und VMware-Image auf
der DELUG-DVD dieses Magazins). Ein
E-Box 2.0 gab es nie, dafür startete Zentyal
letzten November gleich als Version
2, die dritte Ausgabe ist für kommenden
Herbst geplant.
Ganz frisch ist das System insofern nicht
mehr: Als Grundlage dient der aktuellen
Zentyal-Version 2.2.2 ein Ubuntu in
Version 10.04 LTS. Leider hat sich der
Hersteller obendrein dazu entschieden,
keinen Backport-Kernel in das System
zu integrieren, obwohl der durchaus zur
Verfügung stünde.
So ergeben sich auf neuerer Hardware
möglicherweise Schwierigkeiten, weil die
alten Treiber des genutzten 2.6.32-Kernels
mit allzu frischen Gerätschaften eventuell
nicht zurechtkommen. Vor allem
SAS-Controller sind beliebte Fallstricke in
solchen Szenarien, dann ist nicht selten
bereits vor der Installation Schluss.
Neue Version im Herbst
dass einige der Komponenten
von Zentyal
2.2 etwas angestaubt
sind, wird ab September
kein Problem
mehr sein: Für dann
hat E-Box Solutions
die Veröffentlichung
von Zentyal 3.0 angekündigt
[8], das auf
Ubuntu 12.04 basieren
und aktuellere Software
an Bord haben
wird.
Wenn mit der Hardware
alles glatt läuft,
dürfen sich Admins
auf ein hochgradig integriertes und ausgezeichnet
vorkonfiguriertes System
freuen. Der Anspruch, den Zentyal an
sich selbst richtet, ist eindeutig: Dieses
System sollen auch jene Admins bedienen
können, die nicht von Perl träumen
oder nicht nur auf der Kommandozeile
unterwegs sind. Die werden im Zweifelsfalle
aber ohnehin kein System wollen,
an dem sie nicht jede Schraube selbst
anziehen können.
Einfache Installation,
einfaches Setup
Das Zentyal-System richtet sich an
Admins mit soliden IT-Grundkenntnissen,
die im Alltag wollen, dass die Dienste des
Servers – Mail- und Webserver, eventuell
Samba oder LDAP und viele mehr – einfach
funktionieren.
Schon die Installationsroutine von Zentyal
macht sehr deutlich, dass sich das
System nicht an eingefleischte Profi-
Admins richtet. Wer Zentyal auf einem
neuen Server mit leerer Platte nutzt,
muss sich also im Idealfall nicht einmal
um deren Partitionierung kümmern: Im
Bootmenü hat der Mensch vor dem Bildschirm
die Möglichkeit, sich zwischen
der automatischen Installation und der
Variante mit einer manuellen Partitionierung
zu entscheiden (Abbildung 1).
Zentyal setzt auf den Standard-Installer
von Ubuntu 10.04, der allerdings so vorkonfiguriert
ist, dass er nicht viele Fragen
stellt (Abbildung 2).
Quick, aber nicht dirty?
E-Box macht sich in dieser Hinsicht die
im Debian-Installer vorhandene Preseed-
Funktion zunutze und übergibt dem System
auf diesem Wege die meisten Konfigurationswerte
bereits ab Werk. Nur
ein Account für einen Systembenutzer,
der Hostname, das Tastaturlayout, der
Standort des Servers sowie die zu nutzende
Sprache ist vom Admin händisch
festzulegen.
Da stört es nicht, dass E-Box während
der Installation auf eine grafische Oberfläche
gänzlich verzichtet. Ist die Routine
fertig, dann landet der Admin vor dem
Bildschirm in einem LXDE-Desktop, in
dem sofort ein Browserfenster (Firefox)
aufpoppt. Der Name und das Passwort
des während der Installation angelegten
Systembenutzers öffnen die Türen zum
Herzstück von Zentyal: dem zentralen
Konfigurationsinterface.
Das Programm, das auf den Namen
»Zentyal Administration« hört, ist das
Zentyal 09/2012
Sysadmin
www.linux-magazin.de
57
Nahezu vorbildlich ist das mitgelieferte
Web-GUI, das viele klassische Konfigurationswerkzeuge
in Sachen Funktionalität
glatt in den Schatten stellt. Wer über ein
solides Grundwissen im IT-Bereich verfügt
und der englischen Sprache einigermaßen
mächtig ist, wird keine größeren
Schwierigkeiten haben, Zentyal für die
eine oder andere Funktion hinreichend
zu konfigurieren. Auch die Tatsache,
Abbildung 2: Zentyal nutzt die Preseeding-Funktion des Debian-Installers, um zusätzliche Pakete zu installieren
und viel Konfigurationsarbeit zu umgehen.

Sysadmin
www.linux-magazin.de Zentyal 09/2012
58
Abbildung 3: Nach der Installation fragt das Zentyal-GUI, welche Funktionen der frisch installierte Server
bieten soll. Die Module schließen sich dabei nicht gegenseitig aus.
Kleinod des gesamten Systems. Es hilft
dabei, Web-basiert praktisch alle Dienste
zu konfigurieren, die Zentyal steuern
kann – und das sind wirklich sehr viele.
Keine Sorge, weder handelt es sich hier
um einen Webmin-Klon, noch hat die
Software Fehler von ihren Vorfahren aus
früheren Tagen geerbt: Das Zentyal-GUI
in der getesteten Version funktionierte
überraschend gut.
Uferlos: Das Web-GUI
Nach dem ersten Login präsentiert sich
dem Admin eine Übersicht über die verschiedenen
Paketsammlungen, die sich
aus dem GUI heraus installieren lassen
(Abbildung 3). Beispiele sind »Webserver«,
»Mail Service« oder auch »VoIP Server«,
»Groupware (Zarafa)«, Single-Signon
für Windows-Clients über LDAP oder
Virtualisierung mit KVM (inklusive einer
Web-VNC-Konsole für den komfortablen
Remote-Zugriff).
Die Module lassen sich beliebig kombinieren,
auf Wunsch auch gleichzeitig
installieren. Das nimmt dann zwar ein
wenig Zeit in Anspruch, doch kann das
System im Anschluss tatsächlich jede
Rolle spielen, die in Zentyal vorgesehen
ist. Das Konfigurationsinterface ist denkbar
einfach gestaltet: Links befindet sich
ein Menü mit Links zu jeder verfügbaren
Funktion eines Zentyal-Setups, im rech-
ten Teil des Fensters sind die zugehörigen
Konfigurationsoptionen angeordnet.
Dashboard mit Rollen
Das Dashboard gibt Systembetreuern einen
schnellen und umfassenden Überblick
über den aktuellen Systemstatus.
Hier finden sich Infos über die Auslastung
der Netzwerkschnittstellen und über die
gerade vom Zentyal-Server angebotenen
Dienste. Diese lassen sich direkt aus dem
Dashboard heraus stoppen und bei Bedarf
wieder starten. Im Test hinterließ das
Zentyal-GUI tatsächlich einen sehr guten
Eindruck mit leichten Abzügen in der
B-Note: Die Benennung der Menüpunkte
links ist durch die hohe Anzahl an Einträgen
noch unübersichtlich, bisweilen
sogar irreführend.
Small-Business-Server-Anbieter treten in
der Regel mit dem Versprechen an, eine
eierlegende Wollmilchsau zu bauen. Im
Falle von Zentyal heißt das: Die Entwickler
zielen darauf ab, dass Unternehmen
sich einen Zentyal-Server in ihr Büro
stellen und diesen alle Aufgaben der
täglichen Arbeit erledigen lassen. Dabei
darf die Maschine verschiedene Rollen
annehmen.
Zunächst ist das freilich der einfache
Einsatz als Webserver, wobei der Dienst
schon im eigenen Interesse von Zentyal
liegt, schließlich läuft das Konfigurationsinterface
ebenfalls über Apache.
Im Test war die Überraschung nicht zu
verheimlichen, als die Versionsnummer
des genutzten Apache ins Auge fiel: Die
Version1.3.9 war selbst im April 2010 –
zum Release-Termin von Ubuntu 10.04
– schon flächendeckend dem Nachfolger
Apache 2 gewichen.
Es hilft auch nicht, dass der Admin per
Webinterface virtuelle Hosts hinzufügen
kann, um neue Sites auf dem Server online
zu bringen. Viele Funktionen aktueller
Webanwendungen sind so nur unzureichend
oder gar nicht nutzbar.
Wer seinen Mailverkehr aus grundsätzlichen
Überlegungen nicht einem externen
Dienst wie Google Mail anvertrauen
möchte, setzt in Zentyal per Klick im
Web interface sowohl einen IMAP-
Daemon (Dovecot) als auch einen SMTP-
Server (Postfix) oder gleich einen ganzen
Groupwareserver (Zarafa) auf.
Die Konfigurationsmöglichkeiten des
Web interface sind auch hier sehr umfangreich,
wer eine Small Business
Subscription erwirbt (dazu später mehr),
bekommt sogar Antivirus- und Antimalware-Tools
oder Contentfilter mitgeliefert.
Im einfachsten Szenario beschränkt sich
die Konfiguration auf das Festlegen des
Hostnamens des Mailservers, den Rest
erledigt Zentyal wie vieles andere ganz
automatisch.
Web, Mail, Firewall, DHCP
Auch wer eine flexible Linux-Firewall
mit Routingfunktionen einsetzen will,
kommt mit Zentyal zum Ziel. Die Distribution
kombiniert die Flexibilität der
klassischen Firewall- und Forwarding-
Werkzeuge auf Linux mit den Vorteilen,
die ein GUI ähnlich dem klassischer
Homerouter anbietet. Per Mausklick legen
Admins fest, welche Netzwerke innerhalb
der vorhandenen Schnittstellen
geforwardet oder per NAT maskiert sein
sollen oder wie die DMZ auszusehen hat.
Auch die Firewall-Konfiguration wird so
zum Kinderspiel für den etwas talentierten
Poweruser.
Wer im Firmennetzwerk einen DHCP-
Server braucht, richtet sich auch diesen
per Mausklick schnell ein. Und falls die
Internetanbindung im Büro nicht gar
so berauschend ist, freuen sich Admins
ebenfalls über Squid, der als transparen-

Abbildung 4: Per GUI ist ein Server mit einer Zentyal-Subscription direkt zu verbinden – erst dann stehen die
zusätzlichen Dienstleistungen zur Verfügung.
und die nicht über das GUI von Zentyal
zu konfigurieren wäre. Die E-Box-Entwickler
leisten gute Arbeit im Bestreben,
einerseits ein möglichst vollständiges
Paket zu schnüren und auf der anderen
Seite alle Funktionen dieses Pakets auch
für Nicht-Geeks optisch aufzubereiten.
Das ganze Image von Zentyal besteht aus
freier Software, die gänzlich kostenlos
ihre Benutzer erreicht.
Misstrauischen Menschen stellt sich an
dieser Stelle die Frage nach dem Geschäftsmodell
des Anbieters, das in der
Tat durch ein paar Eigenheiten gekennzeichnet
ist. Freilich entwickelt Zentyal
das System nicht aus purer Nächstenliebe,
sondern will Geld mit der Lösung
verdienen. Eine verbreitete Variante, mit
freier Software an Geld zu kommen, sind
Supportverträge. Und genau das bietet
Zentyal unter dem Namen Subscriptions
an [10]. Dafür registriert sich der Benutzer
in der Zentyal Cloud (Abbildung 4).
Zentyal 09/2012
Sysadmin
www.linux-magazin.de
59
ter Proxy zum Einsatz kommt. In diesem
Modus gleicht Zentyal klassischen Routerdistributionen
wie FLI4L [9].
LDAP, Jabber, VoIP, PKI,
VPN, Groupware
Jede Funktion von Zentyal einzeln aufzulisten,
erscheint unmöglich. Denn die
Optionen, die das System bietet, wirken
fast unendlich: Ein eigener Jabber-Server
für Büro-internes Instant Messaging
oder ein NTP-Server als Zeitquelle für
alle Windows-Desktops sind ebenfalls
kein Problem. Ein eigener BIND-Server,
der bei Bedarf die Domain eines Unternehmens
verwaltet und für den sich die
gesamte Konfiguration inklusive Domain-
Zonen per GUI steuern lässt. Bei Bedarf
dient Zentyal überdies als kleine PKI, als
Verwaltungsstelle für eine lokale Certificate
Authority.
Auch als billiger Active-Directory-Ersatz
will Zentyal dienen: Zumindest für Windows-Clients
verwaltet der Server die
zentrale Authenti fizierung mit Single-
Sign-on, auch Linux-Maschinen lassen
sich ins LDAP-Directory oder die Samba-
Domäne integrieren.
Sollen Kollegen im Außendienst Zugriff
auf Dokumente innerhalb des Firmennetzwerks
erhalten, bietet sich das integrierte
Open-VPN-Modul an, Zentyal beherrscht
aber auch IPsec und PPTP. Sogar
die freie Telefonanlage Asterisk lässt sich
auf Wunsch installieren und zumindest
grundlegend konfigurieren.
Das liebe Geld
Kurzum: Es gibt offenbar kaum eine Serverfunktion,
die Zentyal nicht beherrscht
Basic, Small Business und
Enterprise Subscription
Das Supportmodell bietet drei Schienen:
Die Basic Subscription ist gratis und bietet
im Wesentlichen die Möglichkeit, die
Zentyal-Konfiguration im Supportsystem
des Herstellers zu sichern, um bei Bedarf
einen Zentyal-Server so schnell wie
Abbildung 5: Auf der URL [cloud. zentyal. com] steht das Kontroll-Interface für die eigenen Zentyal-Server
bereit. Auch Alarme beim Monitoring poppen dort auf.

Sysadmin
www.linux-magazin.de Zentyal 09/2012
60
Updates direkt vom Ubuntu-Server das
System noch so funktioniert wie erwartet.
Angesichts der jüngst veröffentlichten,
ganz offiziellen und weltweiten Kooperation
mit Canonical [11] verwundert
dieser Hinweis doch sehr.
Insgesamt wirkt die Herangehensweise
etwas anachronistisch, versorgt doch
selbst Microsoft Benutzer von illegal kopierten
Windows-Versionen zumindest
mit sicherheitskritischen Updates. Wer
Zentyal im Unternehmenseinsatz betreiben
möchte, wird daher kaum um die
Subscription für Sicherheitsupdates herumkommen.
Trainings
Abbildung 6: In Zentyals Cloud lassen sich Rechner auch direkt verwalten und aktuell halten.
möglich wiederherstellen zu können. Die
Small Business Subscription richtet sich
an Unternehmen mit bis zu 25 Benutzern
und schlägt mit 60 Euro pro Monat zu
Buche. Das größte Paket, die Enterprise-
Version, kostet bereits happige 150 Euro
pro Monat, hat dafür aber keine Begrenzung
bei der Benutzerzahl.
Die Subscriptions umfassen nicht nur die
Möglichkeit, sich mit Problemen an den
Hersteller des Systems zu wenden – dafür
wären die Preise zu hoch. Zusätzlich bieten
sie nützliche Funktionen, die Zentyal-
Benutzern ohne Subscription verwehrt
bleiben, etwa Malware- und Virenschutz.
Weitere Dienstleistungen in der Small-
Business- sowie der Enterprise-Variante
bietet die detaillierte Übersicht auf [10].
Backup statt HA?
Zu den kostenpflichtigen Diensten gehört
es auch, einen kompletten Zentyal-Host
als Backup auf den Servern des Anbieters
zu speichern (Enterprise-Edition). Wer
sich dagegen mit der Small-Business-
Server-Variante begnügt, kann zumindest
lokal per GUI ein vollständiges Backup
seines Zentyal-Servers anlegen, das er
im Notfall auf einen anderen Rechner
aufspielt. HA ist das allerdings nicht,
sondern lediglich eine aufgehübschte
Backup-Option.
Auch die Remote-Management-Fähigkeiten
von Zentyal richten sich an Unterneh-
men, die keine eigene Infrastruktur fürs
Monitoring und fürs Alerting aufbauen
wollen. Auf Wunsch leistet Zentyal diese
Dienste für Server mit Subscription selbst.
Über das Zentyal-Webinterface kann der
Admin dann angemeldete Server sowohl
warten als auch überwachen (Abbildungen
5 und 6). Fällt dann ein Host aus,
schickt Zentyal an den Admin automatisch
eine E-Mail.
Updates nur gegen Geld
Stirnrunzeln verursachen jedoch die
Subscription-Services des Anbieters. Einerseits
sind die angebotenen Zusatzleistungen
zur völlig freien Grunddistribution
durchaus attraktiv. Andererseits fallen
unter die kommerziellen Zusatzfeatures
auch solche, die die meisten Admins
definitiv haben wollen – beispielsweise
die Unterstützung eines Herstellers bei
Sicherheitsupdates. Unangenehm fällt
auf, dass Zentyal den Benutzern ohne
Bezahl-Abo diese notwendigen Sicherheitsupdates
vorenthält.
Zwar gibt es im Webinterface durchaus
eine Seite für Updates, doch ohne eine
Zentyal-Subscription greift diese lediglich
auf die aktualisierten Pakete aus dem
Ubuntu-Sicherheitsrepository zurück.
Am unteren Rand findet sich zudem eine
beunruhigende Warnung, dass Zentyal
keine Garantie dafür übernehmen kann,
dass nach dem Einspielen der Ubuntu-
Über einen weiteren Zusatzdienst baut
der Hersteller eine Brücke für Admins,
die Zentyal verwenden wollen, aber die
Software noch nicht kennen und auch im
Umgang mit Linux noch nicht besonders
firm sind. E-Box bietet für solche Fälle
ausführliche Erläuterungen in seinem
Trainingsprogramm [12] an. Im Hintergrund
arbeitet Moodle, das einerseits
viele Lektionen bereithält, andererseits
aber auch Tests anbietet, um das schon
erworbene Zentyal-Wissen richtig einzuschätzen.
Englisch ist dabei allerdings
Voraussetzung, auf Deutsch gibt es die
Kurse nicht.
Angesichts der Vielzahl an genutzter
freier Software gelingt E-Box mit Zentyal
wirklich eine gelungene Mischung aus
praktisch allen wichtigen Funktionen,
die ein Server heute bieten kann. Ganz
gleich, ob eine Firewall mit Routingfunktion
gewünscht ist oder eine Asterisk-Telefonanlage,
die gleichzeitig dank
Bind als lokaler DNS-Server fungiert
– mit Zentyal lassen sich praktisch all
diese Funktionen und die meisten anderen
denkbaren Kombinationen auf der
System ebene abbilden.
Zwar sind auch die aktualisierten Pakete
aus dem Sicherheitsrepository von
Ubuntu installierbar, doch weist Zentyal
ausdrücklich darauf hin, dass diese nicht
zwangsläufig völlig kompatibel mit den
Zentyal-Modifikationen am Ubuntu-System
sind. Zentyal-Admins kommen also
de facto um die Small Business Subscription
gar nicht herum. Wer weitere Features
wie automatische Updates für den
eingebauten Spamfilter will oder mehr

als 25 Clients über Zentyal anbinden
möchte, braucht gar das Enterprise-Abo.
So entsteht der Eindruck, dass die vermeintlich
freie Distribution letztlich nur
der Lockvogel ist, der ohne Subskription
nur den halben Nutzen bringt. FOSS-
Größen wie Richard Stallman sprechen
in solchen Fällen gern von „Fake OSS“.
Fazit
Ob ein KMU auf Zentyal setzt, wird letztlich
davon abhängen, wie groß die erwarteten
Einsparungen tatsächlich sind.
Wer die Enterprise Subscription bei E-Box
Solutions kauft, zahlt im Jahr fast 1700
Euro laut Liste, bekommt dafür aber eine
eierlegende Wollmilchsau mit Online-
Monitoring und -Backups und Support
mit 4 Stunden Vorlaufzeit während der
regulären Geschäftszeiten – und ein mit
Ubuntu LTS integriertes Produkt.
Das dürfte in den meisten Fällen günstiger
sein als die Arbeitszeit, die ein Admin
braucht, um die einzelnen Dienste selbst
einzurichten. Wer eine Businesslösung
für eigene Serverdienste sucht, sollte
sich Zentyal also zumindest genauer anschauen.
n
Infos
[1] Christoph Karg, Steffen Bornemann,
„Blitzstart“: Linux-Magazin 01/​09, S. 58
[2] Oliver Schade, „Treiber-Injektion“:
Linux-Magazin 05/​03, S. 56
[3] Autoyast mit Suse 12.1: [http:// doc.​
opensuse. org/ projects/ autoyast/]
[4] Gunnar Wrobel, „Puppenspiel“:
Linux-Magazin 10/​08, S. 70
[5] Tim Schürmann, „Chefkoch“:
ADMIN-Magazin 04/​10, S. 82
[6] Microsoft Small Business Server:
[https:// www. microsoft. com/ sbs/]
[7] Zentyal: [http:// www. zentyal. org]
[8] Kristian Kißling, „Out of the box“:
Linux User 07/​09, S. 24
[9] FLYFL: [http:// www. fli4l. de]
[10] Subscriptions im Vergleich:
[http:// www. zentyal. com/ wp‐content/​
uploads/ 2012/ 05/ 2012_full_zentyal_
edition_comparition_chart_en. pdf]
[11] Zentyal und Canonical: [http://www.
zentyal.com/news/zentyal-to-offer-a
-linux-alternative-to-smb-it-infrastructure
-with-support-from-canonical/]
[12] Training zu Zentyal:
[https:// training. zentyal. com/]
[13] Ankündigung von Zentyal 3.0:
[http:// www. zentyal. org/ archives/ 2012/​
03/ 08/ 905‐first‐zentyal‐2‐3‐installer
‐available‐featuring‐samba4/]
Der Autor
Martin Gerhard Loschwitz
arbeitet als Principal Consultant
bei Hastexo. Er beschäftigt
sich dort intensiv
besonders mit High-Availability-Lösungen
und pflegt in
seiner Freizeit den freien Linux-Cluster-Stack für
Debian GNU/​Linux.
Zentyal 09/2012
Sysadmin
www.linux-magazin.de
61

Sysadmin
www.linux-magazin.de I-doit 09/2012
64
IT-Inventarisierung mit I-doit
Was gehört wohin?
Mag sein, dass das sprichwörtliche Genie jedes Chaos beherrscht. In komplexen Umgebungen mit entsprechend
vielen elektrischen und logischen Verbindungen tut sich aber selbst das Admin-Genie mit einer
Inventarisierungs software wie der hier vorgestellten leichter – mit I-doit. Mark Schier
vicemodellierung, Datenkonsolidierung,
Sicherheitsmanagement und schnellere
Störungsbeseitigung sorgen.
Open oder Pro
© Wu Kailiang, 123RF.com
Der Netzwerker und das Chaos: Wer im
Serverraum oder Rechenzentrum seinen
Kopf für die wirklich wichtigen Dinge
freihalten will, kommt ums Dokumentieren
der Komponenten und Verkabelungen
nicht herum. Bis vielleicht zehn
Serverschränke reichen meist eine Tabellenkalkulation,
ein Zeichenprogramm
und ein Texteditor für Besonderheiten.
Das Verknüpfen der auf diese Weise dokumentierten
Objekte gelingt so freilich
nicht, was bei zunehmender Komplexität
der Umgebung mehr und mehr zum
Nachteil gereicht.
Als Ausweg empfiehlt sich eine Inventarisierungssoftware,
die in einer vernünftigen
Ansicht die Geräte verschiedenster
Art dokumentiert. Die meisten Unternehmen
beachten bei Beschaffung und
Inbetriebnahme außerdem einen festgelegten
Workflow, der sich in solch einem
Programm ebenfalls wiederfinden sollte.
Das berühmte i-Tüpfelchen wäre eine
Möglichkeit, Netzpläne oder zumindest
Verkabelungswege zu erfassen. Neben
den technischen Zusammenhängen für
den Netzwerker kommen in größeren
Unternehmen noch der Service- und
der kaufmännische Aspekt hinzu. Somit
steigt die Erwartungshaltung an ein solches
Tool merklich.
Die zu befriedigen glaubt die Düsseldorfer
IT-Firma Synetics mit ihrem Produkt
I-doit [1]. Laut Hersteller bietet es die
Möglichkeit, alles über eine Weboberfläche
in einer Configuration Management
Database (siehe Kasten „CMDB“) zu verwalten.
Der Vorteil dieser Form der Dokumentation
ist ihre Unabhängigkeit vom
verwendeten Clientsystem. Besonders
verlockend muss das auf Admins wirken,
deren Abteilung vor dem Erlebnis einer
Zertifizierung steht: Die Software soll für
technische Betriebsdokumentation, Ser-
I-doit ist in zwei Varianten erhältlich,
der Open- unter der AGPLv3 und der
proprietäre Pro-Version. Während die
kostenfreie kaum mehr als die Inventarisierung
mit Darstellung der einfachsten
Abhängigkeiten bietet, gelingt es mit der
Pro-Version, zum Beispiel IPv4- und IPv6-
Adressen zu verwalten, das Netzwerk im
Layer 2 und 3 zu dokumentieren und den
IT-Grundschutz zu gewährleisten. Zudem
gefällt die grafische Übersicht von Beziehungen
im so genannten CMDB Explorer,
er ist für den schnellen Überblick meist
hilfreicher als eine volle Tabelle und nur
in der Pro-Version verfügbar.
Preise und Support
Die Staffelung in der Pro-Version reicht
von jährlich knapp 230 Euro für 500 Objekte
bis knapp 3000 Euro ohne Objektlimit,
die Details beschreibt [2]. Eine
Supportmatrix bietet dem Kunden bemerkenswert
unterschiedliche Möglichkeiten,
sich vom Hersteller unter die Arme
greifen zu lassen. Bei I-doit Open, das der
Autor dieses Artikels für erste Gehversu-
DELUG-DVD
Für die Delug-DVD dieses Magazins
hat Synetics exklusiv eine Installati-
DELUG-DVD
onsversion von I-doit Pro zusammengestellt.
Interessierte Leser erhalten damit eine uneingeschränkte
Vollversion mit einjähriger
Laufzeit (Web-basierte Registrierung nötig).
Die Subskription verlängert sich nach dem
einen Jahr nicht automatisch.

Abbildung 1: Läuft die Webapplikation, führt I-doit den Admin in sechs einfachen
Schritten zügig durch das Setup.
che nutzte, ist Hilfe dagegen nur über das
Forum [3] zu erwarten. Hier steht zwar
der eine oder andere Synetics-Mitarbeiter
Rede und Antwort, die Reaktionszeiten
aber sind für einen produktiven Betrieb
nicht annehmbar.
Objekte einpflegen
Als Unterbau für I-doit eignet sich jedes
gängige Linux (oder auch Windows) mit
der übliche Kombination aus Apache,
My SQL und PHP. Der Admin entpackt
nun die I-doit-Zip-Datei ins Rootverzeichnis
des Webservers. Die nötigen Rechte
kann er über ein Skript aus der gepackten
Datei auf einen Rutsch anpassen. Danach
führt er über den Browser das Setup aus,
das in sechs einfachen Schritten für die
Einrichtung sorgt (Abbildung 1).
CMDB
Im Sinne der IT Infrastructure Library (ITIL)
handelt es sich bei der Configuration Management
Database um eine Datenbank, die
dem Zugriff und der Verwaltung von Configuration
Items (CIs, alle Betriebsmittel der IT)
dient. Der Begriff Configuration führt dabei
etwas in die Irre, gemeint sind der Bestand
und die gegenseitigen Abhängigkeiten der
verwalteten Objekte.
Eine CMDB umfasst nicht nur die reine Inventarisierung,
sondern unterstützt alle Module
von Service Support und Service Delivery mit
Bezug zu CIs. Dazu können auch organisatorische
und kaufmännische Informationen eines
CI gehören, beispielsweise die Benutzer,
deren Abteilungen, Anschaffungs- und Zeitwerte
sowie Beschaffungsinformationen und
Informationen zum Produkt-Lebenszyklus
eines CI. (Quelle: Wikipedia)
Jetzt ruft der Benutzer
die Webseite auf, die
generell übersichtlich
und gut durchdacht
gestaltet ist. Auf der
linken Seite sind die
so genannten Objektgruppen
wie Router,
Switches, Patchfelder
und Server aus dem
Bereich Infrastruktur
positioniert. Wählt er
eine Gruppe aus, erscheint
im rechten Bereich
ein noch leeres
Listenfeld wie in Abbildung
2.
Was auch immer der Benutzer ins Tool
einpflegt – vom Kabel bis zum Bladecenter
– bezeichnet I-doit als Objekt.
Die Ansicht beim Erfassen eines Objekts
ist reduziert, das Tool zeigt anfangs nur
die allgemeinen Informationen. (Im
»Admin«-Menü lässt sich konfigurieren,
wie detailliert I-doit die Objekteigenschaften
darstellen soll.) Jedes Feld in der
Erfassungsseite ist eindeutig, plausibel
und praxisgerecht gekennzeichnet.
Sind die Grundelemente eines Unternehmens
wie Standorte, Gebäude und Räume
erst einmal erfasst, gelingt die Zuordnung
beispielsweise eines Switch zu einem
Schrank sehr einfach und schnell. Die
dazu notwendigen Schritte finden sich in
den jeweiligen Objekteigenschaften; über
ein Pulldown-Menü wählt der Anwender
die Gruppe und darin das Objekt (siehe
Abbildung 3).
Beziehungstat
Sobald der erfassungswillige Admin alles
oder zumindest vieles von seiner Umgebung
eingetragen hat, nimmt er die
Beziehungen der einzelnen Objekte zueinander
in Angriff. Hierbei stellten die
Tester fest, dass I-doit ein paar Probleme
mit der Plausibilität hat: Wenn sie die
Uplink-Ports eines Switch über ein Patchfeld
führten, das im Serverraum A hing,
und den Switch in den Raum B umzogen,
dann berücksichtigte die Software
die Abhängigkeit beider Objekte nicht
automatisch – die Ports zeigten immer
noch zum Patchfeld in Raum A. Dies gilt
für alle Gruppen von Objekten.
Das Thema Patchfelder wird auch im
Supportforum heiß diskutiert, denn Synetics
lässt dort eine eigene Interpretation
der so genannten In- beziehungsweise
Out-Seite zu. Der Anwender muss sich
vorab festlegen, wie er ein Panel betrachtet.
Die Tester entschieden sich dafür,
das Panel um 90 Grad verdreht zu betrachten,
das Ethernet-Kabel also „in“
das Panel zu stecken, und die dahinterliegende
Stammleitung als abgehend und
somit als Out anzusehen. Trotz der selbst
gewählten Konvention muss man aber
das Lesen des Patchweges im Nachhinein
neu erlernen.
Gerade die Listenansicht gerät an dieser
Stelle zur Geduldsprobe. Zum Glück
kommt in I-doit Pro dem Anwender aber
der erwähnte CMDB-Explorer zugute. Die
kostenpflichtige Variante gestattet es dem
Admin überdies, mehrere oder alle Ports
eines Panels oder Switch in einem Zuge
zu ändern.
Der Filter-Schreck
Da der Hersteller das System auf ITIL-
Vorgaben und damit auf Nachvollziehbarkeit
getrimmt hat, darf der Nutzer mit
der Berechtigung »Editor« Objekte nur
Abbildung 2: Auf der linken Seite sind die Objektgruppen angeordnet, rechts ein noch leeres Listenfeld.
I-doit 09/2012
Sysadmin
www.linux-magazin.de
65

Sysadmin
www.linux-magazin.de I-doit 09/2012
66
Abbildung 3: Das Zuweisen der Objekteigenschaften geschieht über eine baumartig aufgebaute Hierarchie,
die mit dem Standort beginnt.
optisch löschen. Erst einer höheren Instanz,
dem »Archivar«, ist es vergönnt, das
Objekt zu entsorgen, was zudem eine
Logfunktion dokumentiert.
Die Darstellung lässt sich in der Infrastrukturansicht
durch Filter beeinflussen.
Manchem I-doit-Anfänger gerät die
Ansichtsfilterung zum Verhängnis, etwa
wenn er von der Objektgruppe »Router«
zur Objektgruppe »Switche« wechselt –
ähnlich wie in Abbildung 4 – und alle
Switches plötzlich weg sind! Die unspektakuläre
Ursache ist, dass der alte Filter
aktiv blieb.
Eine interessante und auch gesuchte
Funktion ist das Abbilden eines Workflow,
in I-doit zu finden in einem personalisierten
Bereich unter »my‐doit«. Der
Benutzer kann dort die ihm oder seiner
Gruppe zugeteilten Aufträge einsehen
und gegebenenfalls annehmen. Ebenfalls
dort legt er für sich relevante Links
innerhalb von I-doit ab. Auf diese Weise
springt der Serveradmin zum Beispiel direkt
in seine Gruppe »Server«. Synetics
hat die Workflow-Funktion zwar nicht
aufwändig implementiert und kundige
Admins stolpern über eigentümliche Begrifflichkeiten,
aber letztlich lässt sich mit
dem Programmteil sehr gut arbeiten.
Beschaffung und Garantie
erfasst, wo und zu welchem Preis ein
Gerät eingekauft wurde und mit welchem
Garantiezeitraum es ausgestattet ist. Eine
sinnvolle Funktion in diesem Zusammenhang
findet sich unter dem Menüpunkt
»Extras«. Dort lässt sich eine automatische
Benachrichtigung für beliebige Objektarten
einstellen, die wirksam wird,
wenn Garantien ablaufen.
Grundschutz
Als ein in Deutschland und in größeren
IT-Umgebungen praktisch nutzbarer Vorteil
der Pro-Version erweist sich die Möglichkeit,
alle BSI-Grundschutzkataloge
zu importieren. Diese lassen sich dann
direkt mit erfassten Objekten verknüpften
– das dient im weiteren Sinne sogar
der eigenen Qualitätskontrolle.
Wer wie der Autor in einem Unternehmen
arbeitet, das die ganze Palette der
IT benutzt, ist froh darüber, auch Dinge
wie Zoning im SAN oder Clusterknoten
ausführlich dokumentieren zu können.
Die in I-doit dafür vorgegebenen Gruppen
sind bereits bestens ausgearbeitet und
warten auf ihren Einsatz.
Fazit und Einsatzgebiete
Die IT-Inventarisierung I-doit zeigte sich
im Test vom Installationsprozess bis zum
Handling schlank und anpassbar. Die
Funktionen und Objekte hat der Hersteller
vorab gut definiert, der Admin passt
sie nur noch an die Gegebenheiten des
eigenen Unternehmens an – das funktioniert
bis hin zu komplexen Strukturen mit
SANs oder einem Oracle-Cluster. Alles
kann (und sollte) der Admin miteinander
verknüpfen, sodass sich ihm jede Abhängigkeit
eines Objekts per Link erschließt.
Dass I-doit das Umziehen von Objekten
etwas besser unterstützen könnte, ist
eine lässliche Sünde.
Für kleinere Umgebungen lohnt sich der
Aufwand nicht, mittelständische und
große Unternehmen, die bislang ihre Infrastruktur
in einer Calc-Tabelle inventarisieren,
können wahrscheinlich von einer
Lösung wie I-doit profitieren. Steht eine
(Re-)Zertifizierung an, kommen die Vorteile
der Pro-Version von I-doit besonders
zur Geltung – und die Subskriptionskosten
halten sich gegenüber vergleichbaren
Produkten im Rahmen. Hervorzuheben
sind zudem die vielfältigen Supportangebote
des Herstellers. (jk) n
Infos
[1] I-doit: [http:// www. i‐doit. com]
[2] Preis- und Supportmodell:
[http:// www. i‐doit. com/ produkte‐services]
[3] Hilfe für I-doit Open:
[http:// forum. i‐doit. org]
Der Autor
Mark Schier arbeitet beim Rechenzentrum Niederrhein
im Bereich Netzwerkadministration
LAN/​WAN. Wenn er den Kopf zwischendurch freibekommen
will, malträtiert er sein Motorrad.
Wie eingangs angedeutet bildet I-doit
auch die kaufmännische Seite der IT-
Infrastruktur ab, indem es zum Beispiel
Abbildung 4: Kleiner Schock für Ungeübte: Die zwölf Switches in der Gruppe »Router« sind plötzlich verschwunden!
In Wirklichkeit ist trotz Objektwechsel nur ein Ansichtsfilter aktiv geblieben.

BONUS
Bis 15. Sept. Netbook GRATIS!
Jetzt anmelden www.hackattack.com
[Tag 1]
>Hacking Tools Backtrack 5 & Co.
>rechtliche Situation Hackerparagraph usw.
>System Scan Zielsysteme finden
>Mobile Devices Blackberry, IPhone & Co Neu!
>Google Hacking
>Exploits im Einsatz gegen Windows
[Tag 2]
>Virtual Machine Angriff auf virtuelle Server
>DNS-Hacking Phishing advanced
Neu! >VPN-Hacking So (un)sicher ist VPN
>SSL Hacking HTTPS Verbindungen abhören
>Website Hacking (SQL Injection, XSS, Command Exec...)
[Tag 3]
>VOIP abhören und absichern
>WLAN WEP, WPA und WPA2 Neu!
>Passwort Hacking Windows, Websites, Rainbow Tables ...
>Biometrie Fingerabdruck fälschen
>Penetration Testing mit Checkliste
>Capture the flag Contest CTF mit dem gesammelten
Wissen hacken Sie selbstständig ein System
Das Penetration Testing Seminar
[Hacking Advanced]
> Hamburg
> München
> Köln Herbsttermine JETZT online
> Frankfurt
> Wien
Preis: € 2.390,-/exkl. USt.
Termine und Feedback zum Seminar online
hackattack.com
[Forensik im Unternehmen]
>Wie erkennen Sie effektiv den Einbruch in Ihr System?
>Wie sichert man Beweise gerichtsverwertbar?
>Welche Tools unterstützen Sie bei der Einbruchsdetektion?
>Welche organisatorischen und technischen Vorbereitungen sind
jetzt zu treffen? Wie gehen Sie im Ernstfall strukturiert vor?
>Welche Fehler müssen Sie vermeiden?
>Welche straf- und zivilrechtlichen Möglichkeiten haben Sie?
>Welche Spuren hinterlassen Täter im System?
Gastredner: Thorsten Kuhles, CERT dt. Bundeswehr
Stephan Schmidt, Fachanwalt IT Recht
Kompaktwissen für den Ernstfall
[Forensik Advanced]
> Hamburg
> München
Herbsttermine JETZT online
Preis: € 2.390,-/exkl. USt.
>OWASP Top 10 basierend
die OWASP Top 10 stellen die offizielle Hitliste
der kritischsten Web Sicherheitsrisiken dar
>Welchen Gefahren ist mein System ausgesetzt?
>Wie erkennen Sie Sicherheitslücken der eigenen
Applikation?
>Wie können Schwachstellen beseitigt werden?
Anhand eines konkreten Web Community Projekts
lernen Sie die zehn gefährlichsten Schwachstellen kennen die von Angreifern
ausgenutzt werden.
... notwendige Theorie ...
... noch mehr Praxis ...
OWASP TOP 10 Seminar
[Hacking WEB Apps]
> Hamburg
> München
Herbsttermine JETZT online
Preis: € 2.390,-/exkl. USt.
HACKATTACK® IT SECURITY GmbH
Hohenstaufenring 38-40
50676 Köln
>kostenlose Infoline
0800 20 60 900
hackATTACK
®
we hack to protect you

Forum
www.linux-magazin.de Leserbriefe 09/2012
68
Auf den Punkt gebracht
Leserbriefe
Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an [redaktion@linux-­magazin.­de].
Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit
Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.
Perl vermisst
Erratum
08/​12, S. 14: Der Betreiber des Super MUC,
des schnellsten Rechners Europas, ist das
Leibniz-Rechenzentrum der bayerischen
Akademie der Wissenschaften, nicht die TU
München.
len. Und sich vergewissern, dass Perl, im
Gegensatz zu PHP(-CLI), bei einem frisch
installierten Linux schon dabei ist.
Florian Heß, per E-Mail
Daten schreddern
08/​12, S. 62: Ich habe gerade den Bericht
über das sichere Löschen von Festplatten
durchgelesen und frage mich, warum er
das Programm Shred nur kurz behandelt.
Shred kann einzelne Dateien sicher
vernichten, aber auch komplette Festplatten
mehrfach überschreiben, wenn der
Anwender nur das Device angibt. Zum
Beispiel eine einzelne Datei:
shred ‐v ‐f ‐n10 ‐z /home/thomas/datei.txt
Oder die komplette Festplatte:
shred ‐v ‐f ‐n10 ‐z /dev/sda
Beide Aufrufe überschreiben zehnmal
die Datei beziehungsweise das Device
mit Zufallsdaten und zum Schluss alles
nochmal mit Nullen.
Sollte meine Methode eine Lücke aufweisen,
so habe ich diese noch nicht entdecken
können. Mit NTFS und Ext 3 formatierte
Platten habe ich so schon gelöscht,
mit Spinrite die Oberfläche „aufgefrischt“
und mit verschiedenen Programmen von
Ddrescue bis OO Rescue alles versucht,
und nichts konnte ich wiederherstellen.
Thomas Behrend, per E-Mail
Wer Shred als übliches Löschprogramm
benutzt, der mag durchaus finden, dass
es bei der Besprechung zu kurz gekommen
ist. Die Programme zum Wipen erfüllen
eigentlich alle ihre Aufgabe. Unterschiedlich
ist meist nur die Syntax. Bei Shred ist
es sicher einfacher, mehrmaliges Löschen
durchzuführen. Mit »dd« oder »dc3dd«
06/​12, S. 23: Zum Titelthema Scripting:
Den Satz „Wer im Feld der Sprachen […]
Perl vermisst, sei auf die regelmäßigen
Linux-Magazin-Kolumnen zu diesen verwiesen“
akzeptiere ich nicht. Ihr redaktionelles
Bemühen um Ausgewogenheit in
Ehren, doch im journalistischen Kontext
wäre es mir als Leser wichtiger, dass die
tatsächlichen Verhältnisse beschrieben
werden, unverfälscht und ohne falsche
Suggestionen.
Es fällt mir durchaus schwer, an dieser
Stelle nicht auf die sprachlich funktionellen
und technischen Vor- und Nachteile
von Perl und PHP (und speziell dessen
CLI-Modus) einzugehen. Dazu haben
sich ja schon unzählige auch erfahrene
Programmierer im Internet geäußert.
Hier die zwei wichtigsten pragmatischen
Gründe, warum Perl trotz der Kolumnen
in dem Artikel hätte berücksichtigt
werden müssen: Perl gibt es seit 1987,
während PHP (1992) erst 2002 mit einem
CLI-Modus versehen oder vielmehr offenbar
als Notbehelf drangeflanscht wurde.
Das sind 15 Jahre Unterschied!
Und Perl wurde und wird weit häufiger
für Aufgaben der Systemadministration
angewandt, zumal es sich um ein Kernanwendungsgebiet
von Perl handelt,
ähnlich wie das Web bei PHP. Welche
Sprache hinsichtlich Zuverlässigkeit in
der Systemverwaltung daher besser abschneiden
dürfte, kann sich jeder ausmanutzt
der Administrator aber meist noch
zusätzliche andere Funktionen wie Klonen
oder das Kopieren des MBR.
Daneben kann ich nur davor warnen,
eine Datei mit ihren Shred-Kommandozeilen
als gelöscht zu betrachten. Es gibt
heute kaum noch ein Dateisystem ohne
Journal. Was nutzt ein zehnfacher Durchgang,
wenn das Journal immer noch Dateireste
enthält? (Hans-Peter Merkel)
Lösch-Legende
08/​12, S. 62: Der Artikel „Weg damit!“
kolportiert wieder mal den Mythos von
Gutmann, dass man für sicheres Löschen
einer Festplatte die Daten mehrfach („7-
bis 35-mal“) überschreiben müsste. Hintergrund
ist die Legende, dass man durch
aufwändiges Messen eines „Restmagnetismus“
den ursprünglichen Zustand der
Daten rekonstruieren könnte.
Bei der extrem hohen Informationsdichte
heutiger Festplatten ist es sowieso eine
Meisterleistung der Techniker, die einzelnen
Bits zuverlässig zu speichern.
Und jetzt sollen diese ferromagnetischen
Elemente nicht nur ein Bit speichern,
sondern sogar 3 (bei 7-fachen Überschreibungen)
oder 6 (bei 35-fachen Überschreibungen)?
Und die Elemente führen
auch eine Historie in Form eines „Restmagnetismus“,
um frühere Zustände für
das FBI sichtbar zu machen?
Der Wikipedia-Artikel zur Gutmann-
Methode enthält übrigens den Satz: „In
der Praxis konnten jedoch schon nach
einmaligem Überschreiben keine Daten
ausgelesen werden.“ Zu einem ähnlichen
Fazit kamen auch diverse Datenrettungsdienste,
die von der Zeitschrift „c’t“ befragt
wurden.
Bernhard Bablok, per E-Mail n

JETZT
MIT DVD!
MAGAZIN
Sonderaktion
Testen Sie jetzt
3 Ausgaben
für 3 Euro!
Jetzt schnell bestellen:
• Telefon 07131 / 2707 274
• Fax 07131 / 2707 78 601
• E-Mail: abo@linux-magazin.de
• Web: www.linux-magazin.de/probeabo
Mit großem Gewinnspiel unter:
www.linux-magazin.de/probeabo
Gewinnen Sie...
eines von Sieben „SECU4Bags“
Einsendeschluss ist der 15.09.2012
zur Verfügung gestellt von

Forum
www.linux-magazin.de Recht 09/2012
70
Software-Downloads berechtigen zum Weiterverkauf
Auf zum Flohmarkt
Software per Download anzubieten geht schnell, kostet wenig und hindert den Käufer daran, die Programme
weiterzuveräußern. Zumindest galt das bisher. Der Europäische Gerichtshof sieht das anders – und krempelt
die bisherige Rechtsprechung um. Fred Andresen
© marshi, photocase.com
Sieben Jahre währte der Streit – nun hat
der Europäische Gerichtshof (EuGH) das
letzte Wort gesprochen: Downloads sind
so gut wie physische DVDs [1]. Jeder
kann mit einer heruntergeladenen Datei
tun und lassen, was er will. Im konkreten
Fall ging es um die so genannte Verkehrsfähigkeit
von Downloadkopien eines
Computerprogramms sowie um die urheberrechtliche
„Erschöpfung“. Sie führt
dazu, dass der rechtmäßige Erwerber eines
urheberrechtlich geschützen Werks
es weiterveräußern darf, auch gegen den
Willen oder die Interessen des Urhebers
oder anderer Rechteverwerter.
Es ging um Oracles (Abbildung 1) Klage
gegen einen Gebrauchtsoftware-Händler.
Und es ging um eine Gesetzesauslegung,
die sich so ganz anders darstellt, als der
eigentliche Wortlaut.
Seit 2005 streitet Oracle mit Usedsoft (Abbildung
2), weil das Schweizer Unternehmen
und seine Töchter mit gebrauchten
Softwarelizenzen handeln. Der Knackpunkt
ist, dass Oracle Datenbankserver-
Lizenzen per Download vertreibt, nur
auf Wunsch auch auf DVD. Der Verkauf
erfolgt im Paket mit einer bestimmten
Anzahl von Clientzugriffen. Wer weniger
Clientlizenzen benötigt, muss dennoch
das volle Paket erwerben.
Online: Markt für
gebrauchte Software
Die Schweizer erkannten den Markt für
bedarfsentsprechende Einzellizenen. Sie
kauften Oracles Kunden nicht benötigte
Lizenzen ab und gaben sie wohlportioniert
an die eigenen Kunden weiter. Das
erfolgte mit Brief und Siegel eines Notars,
damit die Erwerber sich auf die rechtmäßige
Übertragung der Lizenz verlassen
konnten. Dem Erstverkäufer Oracle passte
das natürlich gar nicht in den Kram. Also
verklagte er den Gebrauchtwarenhändler
anno 2005 auf Unterlassung.
Die Mühlen der Justiz mahlen gründlich,
aber langsam. Die Sache wanderte
vor den Bundesgerichtshof, der sich aber
auch nicht sicher war, wie die einschlägigen
nationalen Rechtsvorschriften auszulegen
sind. Der Fall betrifft das Urheberrechtsgesetz
(UrhG) vor dem Hintergrund
der EU-Vorschriften, die das UrhG
umsetzen muss.
Die deutschen Höchstrichter erkannten
eine Regelungslücke, mindestens jedoch
einen Widerspruch. Ihnen drängte sich
die Frage auf: Ist es denn ein Unterschied,
ob ein Programm auf einem Datenträger
zu seinem Lizenznehmer findet oder nur
als Kopie, die der Käufer rechtmäßig aus
dem Internet gezogen hat?
Trennung von Werk
und Inhalt
Die bisherige Lesart des deutschen Urheberrechts
vermerkt in der Tat einen
Unterschied. Der Grund: Nach deutschem
Recht geht das Eigentum an einem
urheberrechtsfähigen Werk niemals
vollständig auf seinen Käufer über, der
Käufer erwirbt nur bestimmte Nutzungsoder
Verwertungsrechte. Der Urheber bestimmt
im Übrigen allein und ausschließlich
über sein Werk. Das gilt, bis es nach
Ablauf einer bestimmten Frist gemeinfrei
wird – also praktisch allen gehört.
Das klappt auch ganz gut bei bestimmten
Werken. Ein Lied etwa lässt sich
nicht so recht als Eigentum von jeman-

dem beschreiben. Wenn hingegen
Noten und Text auf dem
Papier festgehalten sind, lässt
sich ein solcher Zettel sehr gut
als Eigentum ansehen (Abbildung
3). Das Gleiche gilt bei
Büchern: Wer es kauft, darf es
weiterverschenken oder verleihen.
Jedoch fällt es schwer zu
begreifen, dass einem der Inhalt
nicht gehört.
Die alten Juristen in Frankreich,
die sich das Urheberrecht ausgedacht
haben, fanden die
passende Lösung: Sie trennten
Inhalt und Ding, also das Werk
an sich und den Gegenstand,
der es verkörpert. Das eine ist
das urheberrechtliche Werk,
das andere solle „Werkstück“ heißen,
„körperliche Ausformung“ oder „Kopie“.
Das erschien in der Zeit des beginnenden
Buchdrucks als der richtige Weg, denn die
erleichterte Vervielfältigung per Druckerpresse
verlangte passendes Recht.
Download eines Werks?
Als Schlüsselbegriff gilt seither das so
genannte Werkstück. Jeder durfte seine
legal erworbenen Werkstücke nicht nur
nutzen, zum Beispiel lesen, sondern auch
weiterveräußern oder nach Belieben anders
damit verfahren. Den Faden zum
Urheber kappte der so genannte Erschöpfungsgrundsatz:
Wenn ein Werkstück mit
Zustimmung des Urhebers erstmalig in
den Verkehr gelangt, etwa durch Verkauf,
erschöpfen sich die Rechte des Urhebers
an diesem konkreten Werkstück. Es ist
fortan eigentumsfähig wie jede andere
Sache auch.
Weil sich das Gesetz aber ausschließlich
auf körperliche Objekte bezieht, hinkt
die Regelung seit Aufkommen des Internets
und seiner digitalen Versionen
von Dingen der Realität hinterher. Der
Kopierfreiheit begegneten Legislative
und Justiz in der Folge mit der klaren
Aus sage: Der Erschöpfungsgrundsatz
gilt nur für körperliche Werkstücke. Das
stärkte die Rechte des Urhebers, der in
den frei verfügbaren Digitalkopien eine
wirtschaftliche Bedrohung sah.
Wie immer, wenn der Gesetzgeber einen
bestimmten Adressatenkreis schützt,
gerät das zum Nachteil des restlichen
Abbildung 1: Oracle ist nach jahrelangem Streit gegen den Wiederverkauf
seiner Datenbanklizenzen unterlegen.
Publikums. Dazu gehören die Onlineverkäufer
von Software. Weil der Downloadvertrieb
nicht nur schnell und einfach
ist, sondern auch wenig kostet, bieten
inzwischen sogar manche Distributoren
ausschließlich den Download von Programmen
an und keine physischen Datenträger
mehr. Motto: Die DVD ist tot,
es lebe der Download.
Allerdings kann niemand Musiktitel oder
E-Books auf Flohmärkten verscherbeln,
auch nicht, wenn er sie rechtmäßig erworben
hat. Früher war das mit den körperlichen
Pendants noch ohne Weiteres
möglich. Außerdem sind Kunden gegebenenfalls
gezwungen, gleich mehrere
Clientlizenzen zu erwerben, wenn die
gewünschte Software nur als Mehrfachbündel
vorliegt. Sie bezahlen also mehr,
als sie brauchen.
So kommt es zum Streit, der wie im
vorliegenden Fall sogar vor das höchste
europäische Gericht zieht. Das hat die
einschlägigen EU-Richtlinien säuberlich
examiniert und kommt zu einem Schluss,
den scheinbar keiner haben wollte. Wortklauberei,
die juristische Paradedisziplin,
macht’s möglich.
Das steht doch im Gesetz!
Das deutsche Urheberrecht setzt für die
hier streitgegenständlichen Vorschriften
im Wesentlichen zwei EU-Richtlinien um:
Die Urheberrichtlinie [2] und die Computersoftwarerichtlinie
[3]. Die erste Richtlinie,
befindet der EuGH, überlasse es
den Mitgliedsstaaten, die Grundsätze der
Erschöpfung von Urheberrechten
in Bezug auf Werkstücke zu
regeln. Die gemeinschaftsrechtlichen
Regelungen über den
Schutz von Computerprogrammen
bleiben unberührt. Die
zweite Richtlinie besage, dass
sich mit dem Erstverkauf einer
Programmkopie das Recht auf
die Verbreitung dieser Kopie
in der Union erschöpft. Wichtig:
Das Wort „Programmkopie“
fällt, nicht etwa das Wort
„Werkstück“.
Das ist ein folgenschwerer Unterschied:
Die Softwarerichtlinie
genießt Vorrang, denn die Urheberrichtlinie
enthält eine Passage,
dass alle bestehenden Vereinbarungen
über Computersoftware von
der Urheberrichtlinie unberührt bleiben.
Die Computersoftwarerichtlinie ist eine
so genannte spezialgesetzliche Regelung:
Die hier enthaltenen Bestimmungen kegeln
die allgemeineren Bestimmungen
der Urheberrichtlinie aus – auch den Erschöpfungsgrundsatz.
© Oracle
Ein Wort entscheidet
Da die Softwarerichtlinie nun nicht den
Begriff des Werkstücks, sondern den
der Programmkopie benutzt, und da ein
Programm „in allen Ausdrucksformen“ –
auch in digitaler Form – als Programm im
Abbildung 2: Peter Schneider ist Gründer und
Geschäftsführer von Usedsoft. Edeka, die Sparkasse
und deutsche Behörden zählen zu seinen Kunden.
© UsedSoft
Recht 09/2012
Forum
www.linux-magazin.de
71

Forum
www.linux-magazin.de Recht 09/2012
72
© Gerti G., photocase.com
Abbildung 3: Ein Lied kann nicht den Besitzer wechseln, wohl aber das Papier, auf dem es geschrieben steht.
Sinne der Richtlinie gilt, erschöpfen sich
die Urheberrechte nach dem Erstverkauf
der digitalen Kopie. Auf eine sinngemäße
Anwendung des „Werkstück“-Begriffs
geht die Richtlinie nicht ein.
Unteilbares Ganzes
Der EuGH legt den Begriff „Verkauf“ (also
Erstverkauf) gemeinschaftskonform aus
als Vereinbarung, nach der eine Person
ihre Eigentumsrechte an einem ihr gehörenden
körperlichen oder nicht körperlichen
Gegenstand gegen Entgelt an eine
andere Person überträgt. Die bisherige
deutsche Rechtsprechung folgte der zweiteilenden
Sichtweise des Urheberrechts:
Niemand konnte das Eigentum an einem
Programm übertragen, das als urheberrechtliches
Werk galt. Übertragbar waren
lediglich Nutzungsrechte.
Der EuGH sieht aber die Übertragung des
Programms und die Einräumung des Nutzungsrechts
als unteilbares Ganzes. Denn
das Herunterladen einer Programmkopie
sei sinnlos, wenn der Besitzer sie nicht
benutzen dürfe, so die Argumentation.
Stattdessen sei die Übertragung in ihrer
Gesamtheit zu prüfen.
Bei Oracle bedeutet das, dass mit der
Verfügbarkeit eines Computerprogramms
und dem Abschluss eines Lizenzvertrags
diese Kopie für Kunden dauerhaft nutzbar
ist. Dafür zahlen sie ein Entgelt, mit dem
der Urheberrechtsinhaber eine dem wirtschaftlichen
Wert seines Werkes entsprechende
Vergütung erzielt. Daher werde,
so der EuGH, tatsächlich das Eigentum
an der Programmkopie übertragen.
Das scheint allerdings ein wenig undifferenziert.
Den Eigentumsbegriff kennzeichnet
ja nicht nur, eine Sache bestimmungsgemäß
benutzen zu können, sondern
auch, sie nach Belieben auf andere
Weise zu verwenden. Bei Programmcode
liegt es zum Beispiel nahe, ihn zu bearbeiten.
Das ist jedoch ein urheberrechtliches
Bearbeitungsrecht, das regelmäßig
gesondert vom reinen Nutzungsrecht
übertragen wird. Der EuGH hat sich mit
dieser Frage nicht auseinandergesetzt.
Daher muss wohl die „Eigentumsübertragung“
ausschließlich als Übertragung
von Nutzungs- und Weiterveräußerungsrechten
anzusehen sein.
Download ist Verkauf
Auch der Erstverkauf mit Zustimmung
des Urhebers war für den EuGH nur eine
Formsache: Der erstmalige Download,
angeboten von Oracle, sei Teil der beschriebenen
entgeltlichen Gesamtübertragung
von Programm und Lizenz. Damit
gilt die Übertragung als Erstverkauf einer
Programmkopie. Es ist ja unerheblich, ob
das Programm als Download oder per Datenträger
bereitsteht. Das Gericht sagt, es
komme nicht auf die Vermarktungsform
an, weil sonst der Veräußerer die Übertragung
bloß als „Lizenzvertrag“ statt als
„Kaufvertrag“ bezeichnen müsse, um die
Erschöpfung auszuhebeln.
Die einheitliche Betrachtungsweise der
Übertragung bedeutet übrigens auch,
dass Händler die eingangs erwähnten Lizenzpakete
nicht aufsplitten dürfen, um
sie einzeln zu veräußern.
Das Urteil des EuGH hat die bisherige
Rechtsprechung umgekrempelt: Benutzer
dürfen ihre gebrauchte Software auch
dann weiterverkaufen, wenn sie sie in
Form eines Downloads bezogen haben.
Entgegegenstehende Lizenzvereinbarungen
der Hersteller sind nichtig. Das gilt
übrigens nur für Softwaredownloads,
nicht etwa für Musik: Heruntergeladene
Songs erschöpfen sich auch weiterhin urheberrechtlich
nicht nach einem Download.
Und auch bei Mehrfachlizenzen gibt
es keine Möglichkeit, diese aufzuspalten
und einzeln zu veräußern.
Wer Software per Lizenzmodell im
Download vertreibt, wird seine Verkaufsbedingungen
anpassen müssen: Er kann
nicht mehr verhindern, dass Kunden die
Programme weiterverkaufen. Interessant
wird das auch noch dann, wenn
die Programme nur individualisiert oder
per Online verifizierung freigeschaltet
wurden. Damit rücken auch Videospiele
ins Rampenlicht, die nur mit dedizierten
Spieler-Accounts laufen. Die Spieler können
hier demnach künftig entsprechende
technische Maßnahmen der Game-Hersteller
vor Gericht durchsetzen.
Der Ort entscheidet
Alles Gesagte gilt nur für Programmdownloads,
die mit Zustimmung des Urhebers
erfolgten und die im Gebiet der Europäischen
Union zum Erstverkauf gelangen.
Zu beachten ist: Der Erfüllungsort beim
Onlinedownload ist regelmäßig der Server
des Verkäufers. (ake)
n
Infos
[1] Urteil des EuGH vom 3.7.2012,Az. C-128/​11:
[http:// lexetius. com/ 2012,2612]
[2] EU-Urheberrichtlinie 2001/​29/​EG: [http://​
eur‐lex. europa. eu/ LexUriServ/ LexUriServ.​
do? uri=OJ:L:2001:167:0010:0019:DE:PDF]
[3] EU-Softwarerichtlinie 2009/​24/​EG: [http://​
eur‐lex. europa. eu/ LexUriServ/ LexUriServ.​
do? uri=OJ:L:2009:111:0016:0022:DE:PDF]
Der Autor
RA Fred Andresen ist Mitglied
der Rechtsanwaltskammer
München und der Arbeitsgemeinschaft
Informationstechnologie
im Deutschen
Anwaltverein (DAVIT).

Bücher zu C++11 sowie zu KVM
Tux liest
Bücher 09/2012
Forum
Die Bücherseite widmet sich einem C++11-Buch für Umsteiger. Der zweite Titel vermittelt einen Einstieg in den
Betrieb virtueller Maschinen mit KVM. Tim Schürmann, Udo Seidel
www.linux-magazin.de
73
Linux-Magazin-Leser wissen: Unter der
Bezeichnung C++11 erschien Ende 2011
eine überarbeitete und erweiterte Fassung
der Programmiersprache C++. Torsten
T. Will stellt in seinem Buch „C++11
programmieren“ alle wichtigen Neuerungen
vor und liefert Tipps für ihren
Praxiseinsatz.
Syntax und Bibliothek
Das Buch beschränkt sich nicht auf die reformierte
Syntax, sondern kümmert sich
auch um die Änderungen in der Standardbibliothek.
Jeder Neuerung widmet
der Autor ein eigenes Kapitel. Dabei geht
er stets gleich vor: Zunächst gibt er einen
kleinen Überblick über das betreffende
Sprachelement. Anschließend nennt er
die Gründe für dessen Einführung, liefert
Beispielcode, weist auf problematische
Konstrukte hin und erläutert, wie der
Leser die Neuerung sinnvoll in eigenen
Programmen einsetzt.
Den Abschluss bildet stets eine Faustregel,
das „Mantra“, das sich der Leser gut
merken möge. Durch diese pfiffige Kapitelstruktur
kann man das Buch entweder
als Einführung von vorne bis hinten lesen
oder sich genau die Elemente herauspicken,
die man im Alltag benötigt.
In den Beispielen nutzt Will von Anfang
an alle Neuerungen aus C++11 – auch
wenn er sie erst später vorstellt. Das soll
Info
Torsten T. Will:
C++11 programmieren
Galileo Computing, 2012
410 Seiten
30 Euro
ISBN: 978-3-8362-1732-3
den Umgang mit den Neuerungen schulen.
Der Autor setzt zudem das komplette
Wissen um den alten C++-Standard voraus
und geht in seinen Ausführungen
mitunter recht weit in die Tiefe.
Anders als auf dem Einband suggeriert,
richtet sich das Buch somit nicht an Umsteiger
von anderen Sprachen – die sind
bei einem Titel für C++-Anfänger besser
aufgehoben. Auch wer nur gelegentlich
in der Sprache programmiert, steht häufiger
wie der Ochs vorm Berg. In diesem
Fall sollte man zunächst alle Einleitungen
zu den einzelnen Kapitel anlesen und
sich erst danach vom Anfang an durch
die Kapitel fräsen.
C++-Profis hingegen finden in dem Buch
von Torsten T. Will einen schnellen Überblick
über alle relevanten Neuerungen
und Dank der zahlreichen Praxistipps
auch ein wertvolles Nachschlagewerk für
ihren Programmieralltag.
KVM-Virtualisierung
Die Virtualisierungstechnologie KVM ist
schon seit Kernel 2.6.20 integraler Bestandteil
von Linux. Mit einiger Verzögerung
sind nun auch deutschsprachige
Bücher zum Thema erhältlich. Zu den
Neuerscheinungen gehört „KVM Best
Practices“, das vier Mitarbeiter der Firma
B1 Systems verfasst haben.
Das Buch bietet eine Einführung in den
Bereich Virtualisierung, im zweiten Kapitel
geht es mit KVM selbst los. Dabei
legen die Autoren Ubuntu sowie die
Enterprise-Distributionen von Red Hat
und Suse zugrunde, womit die wichtigsten
Linux-Varianten abgedeckt sind. Der
Text ist weitgehend allgemein gehalten,
sodass eine Übertragung auf andere Linuxe
leicht fällt. Die B1-Mitarbeiter erläutern
zunächst die Installation von KVM
und der wichtigsten Verwaltungswerkzeuge.
Die weiteren Kapitel behandeln
Netzwerk, Datenspeicherung, Backup,
Migration und Hochverfügbarkeit.
Durch die Komplexität des Themas bleibt
es nicht aus, dass der Leser nicht alles
Wissen an einer einzigen Textstelle finden
kann. Die Verfasser stellen in diesem
Fall eine kurze Erklärung bereit und verweisen
geschickt auf andere Abschnitte,
die mehr Details bieten.
Ein ganzes Kapitel ist der Installation des
Gastbetriebssystems gewidmet. Die Themen
PXE-, NFS- und I-SCSI-Boot sind
allerdings nicht KVM-spezifisch und gelten
ebenso für andere Virtualisierungslösungen
und physikalische Server. Ein
Verweis auf die vorhandene Literatur
hätte gereicht.
Den gewonnenen Platz hätten die Autoren
SPICE (Simple Protocol for Independent
Computing Environments) oder
Open V-Switch widmen können, die im
KVM-Umfeld an Bedeutung gewinnen.
Der Rezensent selbst hat gemischte Erfahrungen
mit den einzelnen Migrationstools
gemacht und hätte sich entsprechende
Warnhinweise an den Leser gewünscht.
Diese Lücken trüben etwas den Eindruck
des Buches. Zusatzrecherchen des Lesers
im WWW sind nahezu unvermeidlich.
Dennoch erhält der Käufer ein kompaktes
Werk, das einen hinreichenden Einstieg
in die KVM-Welt bietet. (mhu) n
Info
Chr. Arnold, M. Rode, J.
Sperling, A. Steil:
KVM Best Practices
Dpunkt, 2012
300 Seiten
37 Euro
ISBN: 978-3-89864-737-3

Know-how
www.linux-magazin.de Kern-Technik 09/2012
76
Kernel- und Treiberprogrammierung mit dem Linux-Kernel – Folge 64
Kern-Technik
Der Boot Tracer und Bootchart helfen dabei, den Bootvorgang detailliert zu analysieren. Schon ein paar Maßnahmen
später ist das Linux-System spürbar schneller betriebsbereit. Jürgen Quade, Eva-Katharina Kunst
© psdesign1, Fotolia
64
Die heute gängige Bootzeit von ein bis
zwei Minuten für ein Desktop-Linux ist
nicht gerade beeindruckend. Für den
Einsatz im Embedded-Bereich wäre sie
geradezu undenkbar. Eine Digitalkamera,
die 60 Sekunden zum Hochfahren benötigt,
findet nicht viele Käufer, ebenso ein
Auto, das nach dem „Keyless Access“
zwei Minuten mit der Meldung „Fahrzeug-Informationssystem
- Booting“ für
Stillstand sorgt.
Dabei geht es schneller, wie diverse im
Internet publizierte Erfolgsgeschichten
belegen. Dort wurden mit überschaubarem
Aufwand Bootzeiten im einstelligen
Sekundenbereich und teilweise sogar darunter
erreicht. So bootet etwa das unter
[1] gezeigte Embedded-System auf einem
Beagleboard in 630 Millisekunden von
Power-on bis in eine Shell.
Für einen möglichst schnellen Bootvorgang
gilt es, die Systemkomponenten in
Handarbeit anzupassen.
Davor ist außerdem
eine zeitliche
Analyse des Bootvorgangs
erforderlich,
der sich beim so genannten
Cold Boot in
die vier Phasen Bootstrap,
Bootloader,
Kernel und Userland
gliedert (siehe Abbildung
1).
Die Phase Bootstrap
entspricht dabei dem
Bios beziehungsweise
der Abarbeitung des
Codes, der in einem
Festspeicher (ROM)
untergebracht ist. Der
typischerweise einfache
Bootstrap-Code
lädt am Ende den
Bootloader, der wiederum für das flexible
Laden eines Root-Dateisystems und des
Betriebssystems zuständig ist.
Seriell beobachtet
Für die zeitliche Analyse der Bootstrapund
der Bootloader-Phase empfehlen die
Kernelhacker das Werkzeug Grabserial
[2], das sich allerdings nur einsetzen
lässt, wenn das zu untersuchende System
über eine serielle Schnittstelle verfügt.
Grabserial läuft dabei nicht auf dem zu
untersuchenden System selbst, sondern
auf einem eigenen Host, der die über die
serielle Schnittstelle ausgegebenen Bootnachrichten
empfängt.
Die Aufgabe ist simpel: Zu jeder Nachricht
fügt die Software einen genauen
Zeitstempel hinzu. Die Auswertung der
zeitbehafteten Nachrichten von Bootstrap
und Bootloader bleibt aber Handarbeit
für den Entwickler. Auch in der Phase des
Kernelboots lässt sich Grabserial einsetzen.
Etwas komfortabler geht es aber mit
Boot Tracer zu. Das Werkzeug ist seit Version
2.6.28 Teil des Linux-Kernels in der
so genannten Tracing-Infrastruktur. Sobald
Boot Tracer durch die Bootoption
initcall_debug printk.time=1
aktiviert ist, protokolliert es die Startund
Endzeitpunkte der Kernel-Initialisierungsfunktionen,
der so genannten
Initcalls (siehe Abbildung 2). Es registriert
die Zeitdauer ebenso wie Erfolg
oder Misserfolg einer Init-Funktion. Der
Kernelhacker Arjan van de Ven hat darüber
hinaus mit »bootgraph.pl« ein Perl-
Skript geschrieben, das die vom Boot Tracer
generierten Informationen grafisch
aufbereitet. Torvalds legt dieses Skript
seinem Kernel-Quellcode im »scripts«-
Verzeichnis bei.
Da Distributionen wie beispielsweise
Ubuntu die Tracing-Infrastruktur im
Kernel unterstützen, kann der Anwender
den Bootprozess mit wenig Aufwand
selbst analysieren (siehe Kasten „Boot
Tracer im Einsatz“). Das Augenmerk ist
Bootphase
Bootstrap
Bootloader
Kernel
Userland
Werkzeuge
Grabserial
Grabserial
Boot Tracer
Bootchart
Abbildung 1: Je nach Bootphase stehen zur Analyse
unterschiedliche Werkzeuge bereit.

Abbildung 2: Der Boot Tracer protokolliert Zeitverhalten und Returncodes der Initialisierungsfunktionen.
in der generierten Grafik auf die lang
gezogenen Felder zu richten. Abbildung
4 beispielsweise zeigt die Boot-Tracer-
Ausgaben für ein System, das mit den
Default-Einstellungen von Buildroot [3]
für ARM entstand. Demnach dauert das
Booten des Kernels bis zum Mounten
des Root-Filesystems unter dem Emulator
Qemu 3880 Millisekunden.
Eingebaute Wartezeit
Auffällig ist der etwa 3 Sekunden lange
blaue Bereich, den die Funktion »sym2_
init()« verursacht. Eine Quellcode-
Recherche zeigt, dass diese Funktion
zum SCSI-Treiber »sym53c8xx« gehört.
Im Rahmen der Funktion wartet der
Kernel über einen 3-Sekunden-Timeout
auf SCSI-Geräte. Dieses Verhalten lässt
sich allerdings per Bootoption abstellen.
Startet man den gleichen Kernel mit der
Bootoption »sym53c8xx.settle=0«, ergibt
sich der in Abbildung 5 dargestellt Boot
Trace. Bis zum Mounten der Rootpartition
benötigt das System dann nur noch
etwa 900 Millisekunden.
Über die detaillierte Auswertung der
Boot-Tracer-Informationen hinaus schlagen
die Kernelexperten eine Reihe weiterer
Maßnahmen vor ([4], [5], [6], [7]).
Einige empfehlen, den Konsolen-Output
während des Bootens zu unterbinden.
Auch diese Maßnahme lässt sich per
Bootoption umsetzen (Schlüsselwort
»quiet«). Außerdem sollte man Parameter,
die der Kernel beim Booten jedes
Mal aufs Neue bestimmt, vorgeben. Ein
prominentes Beispiel ist das Kalibrieren
der Delay-Loop. Der vom Kernel durch
Messung ermittelte Wert taucht in den
Syslog-Meldungen auf. Zum Abkürzen
des Vorgangs übergibt ihn der Admin
gleich als Bootoption »lpj=Wert«.
Ein weiterer Tipp betrifft die Kernelkonfiguration
selbst. Es versteht sich von
selbst, dass ein schlanker Kernel schneller
bootet als ein aufgeblasener. Konsequenterweise
sollte man nur jene Komponenten
einkompilieren, die Hardwaretechnisch
verbaut beziehungsweise Software-technisch
nötig sind. Das betrifft
nicht nur Treiber, sondern insbesondere
auch Netzwerkprotokolle, Dateisysteme
und Debugoptionen. Eine weitere Technik
wird als Deferred Loading bezeichnet.
Funktionalitäten, die das System
nicht direkt zum Start benötigt, lädt es
erst nach dem Booten.
Die Experten erwähnen als weitere Möglichkeit
zur Zeitersparnis, die Anzahl der
Pseudo-Terminals (PTY) zu reduzieren,
was ebenfalls per Bootoption ohne Neukompilieren
funktioniert. Ein zusätzlicher
Tipp ist das Abschalten der zuweilen noch
aktiven Autokonfiguration des Internetprotokolls
im Kernel (»ip‐auto‐config«).
Minimal-Bootstrap
Damit nicht genug. Die Systemarchitekten
von Linux hinterfragen zur Optimierung
der Startzeit den ganzen Bootprozess. Dabei
zeigt sich, dass beim Kalt-Boot auch
der Bootloader zusammen mit dem Laden
von Kernel und Root-Filesystem viel
Zeit verschlingt. Die Embedded-Experten
stellen zur Diskussion, den Kernel direkt
mit einem einfachen Bootstrap in den
Speicher zu laden und einen mit reichlicher
Funktionalität versehenen Bootloader
komplett wegzulassen. Dazu muss
man die Bootoptionen allerdings fest in
den Kernel integrieren. Das ist bei der
Kernelkonfiguration über den Parameter
»CONFIG_CMDLINE« möglich.
Kern-Technik 09/2012
Know-how
www.linux-magazin.de
77
Boot Tracer im Einsatz
Ein Reboot reicht aus, um den Boot Tracer unter
Ubuntu 12.04 selbst auszuprobieren. Dazu
ist es zunächst erforderlich, in das Bootmenü
von Grub zu gelangen. Falls beim
Reboot der Bootmanager Grub nicht
selbstständig erscheint, lässt er sich
durch Drücken der Umschalt-Taste
aufrufen. Im Menü ermöglicht es
die Taste [E], den aktuellen Eintrag
zu editieren. Daraufhin erscheint
der ausgewählte Eintrag im Detail
(siehe Abbildung 3).
Der Cursor gehört in die Zeile, die
mit »linux« beginnt. Dort sind die
beiden Kerneloptionen »initcall_debug
printk.time=1« anzufügen. Dabei
gibt es eine kleine Herausforderung:
Zum Bootzeitpunkt ist das Tastaturlayout
auf Amerikanisch eingestellt.
Für den Unterstrich ist ein [?] zu
tippen, für das Gleichheitszeichen ein [’]. Die
Eingabe von [Strg]+[X] bootet den Kernel mit
den neuen Optionen.
Abbildung 3: Mit den geeigneten Kommandozeilen-Optionen gestartet protokolliert
der Boot Tracer den Kernelboot.
Nach dem Booten speichert man die Protokollinformationen
in einer Datei. Das Skript »bootgraph.pl«
bereitet deren Inhalt grafisch auf:
dmesg >/tmp/boot.log
cat /tmp/boot.log | U
perl /usr/src/linux‐headers‐U
3.2.0‐24‐generic/scripts/U
bootgraph.pl > /tmp/boot.svg
Je nach den installierten Kernel-
Headerdateien sind die angegebenen
Pfade eventuell noch anzupassen.
Mit einem Bildbetrachter wie
etwa »eog« lässt sich die erzeugte
Grafik »/tmp/boot.svg« betrachten.
Da sie sehr viele Informationen enthält,
sind in der Standardansicht zunächst
nur die großen Blöcke sichtbar,
das Zoomen der interessanten
Ausschnitte offenbart die Details.

smc_driver_init
pci_sysfs_init
pm_qos_power_init
flow_cache_init_global
mousedev_init
amba_kmi_init
init
it
init_mtd
init_sd
cfq_init
bsg_init
init_romfs_fs
init_nfsd
init_minix_fs
init_cramfs_fs
it f
init_ext2_fs
aio_setup
inotify_user_setup
dnotify_init
fsnotify_mark_init
i it
dio_init
fcntl_init
kswapd_init
0.89
Know-how
www.linux-magazin.de Kern-Technik 09/2012
78
Das Laden des Kernels und des Root-
Dateisystems durch den Bootstrap lässt
sich ebenfalls optimieren. Zu diesem
Zweck kann der Admin den Transfer per
DMA vornehmen oder auch mit LZO einen
schnelleren Dekompressions-Algorithmus
verwenden als standardmäßig
vorgesehen.
Der letzte Punkt, bevor die Optimierung
für das Userland beginnt, betrifft die Konfektion
des Root-Filesystems. Abhängig
von der Größe der Rootpartition und
des verwendeten Filesystems benötigt
das Mount-Kommando unterschiedlich
lange Zeit. Auch ein Read-only-Mounten
kann Zeit einsparen. Bei der Auswahl
eines kurz bootenden Filesystems kann
der Benchmark unter [8] helfen.
Schneller User
Für die Analyse der letzten Bootphase,
also das Hochfahren des Userland, haben
die Linux-Entwickler das Werkzeug
1,51...
3,65
3,41
3,17
2,94
1,27
1,04
0,8
0,56
0,32
sym2_init
Datenbanken
amba_clcdfb_init
1_sd_probe_async
»sym2_init()«
Abbildung 4: In der Boot-Tracer-Grafik ist deutlich
der lange blaue Bereich erkennbar, der für die lange
Bootzeit verantwortlich ist.
Bootchart geschaffen. Für Ubuntu gibt es
ein vorgefertigtes Paket, das sich mit dem
Kommando »apt‐get install bootchart« installieren
lässt. Bereits nach dem nächsten
Reboot stehen die Daten zur Verfügung
und können analysiert werden.
Da Ubuntu allerdings nach dem ersten
Reboot noch eine Systemoptimierung
vornimmt, ist es sinnvoll, frühestens die
Daten des zweiten Reboots auszuwerten.
Ist die Auswertung abgeschlossen,
entfernt der Befehl »apt‐get remove bootchart«
das Tool wieder.
Kern von Bootchart ist ein Hintergrundprozess
namens »collector«, der in kurzem
Abstand, beispielsweise alle 40
Millisekunden, die Taskliste, statistische
Informationen über Tasks und Interrupts
(»/proc/stat«) sowie statistische Informationen
über den Disk-I/​O (»/proc/diskstats«)
protokolliert. Die gesammelten
Informationen packt das Werkzeug in ein
Archiv und legt es im Verzeichnis »/var/
log/bootchart« ab.
Es bereitet die Daten auch grafisch auf.
Die Grafik (Abbildung 6) findet sich
ebenfalls im Verzeichnis »/var/log/bootchart«
und wartet auf die Analyse. Neben
allgemeinen Informationen ist in Blau die
CPU-Auslastung und in Rosa die Disk-
Aktivität während des Bootvorgangs dargestellt.
Stellen, an denen die CPU keine
Aktivität zeigt, sind gute Kandidaten für
eine Optimierung.
Im weiteren Verlauf ist jede Task in der
Grafik entlang der Zeitachse angeordnet.
Dabei kennzeichnet Bootchart die
Prozesszustände (aktiv, schlafend, Zombie)
und Datentransfers. Abbildung 6
zeigt einen kleinen Ausschnitt aus dem
Bootchart, das den Boot eines aktuellen
Ubuntu-Systems auf einem Netbook
abbildet. Die Collector-Task ist ebenfalls
aufgeführt. Dabei ist deutlich die regelmäßige
Aktivität zu sehen und auch,
dass der Collector, durch Init aktiviert,
frühzeitig im Bootprozess startet.
Eine für die Bootzeit-Optimierung wichtige
Task ist die ebenfalls sichtbare und
frühzeitig gestartet Task »ureadahead«
[9]. Sie spart gut 30 Sekunden Bootzeit
ein, indem sie vorausschauend möglichst
viele Daten, die im weiteren Verlauf beim
Hochfahren benötigt werden, in einem
Rutsch in den Hauptspeicher transferiert.
Welche Daten einzulesen sind, hat »ureadahead«
bei einem früheren Bootvorgang
0.86
0.82
durch Beobachtung der Plattenzugriffe
gelernt. Dieses vorausschauende Lesen
gibt es nicht nur für Ubuntu-Systeme,
es steht auch im schlanken Universal-
0,78
Binary Busybox für Embedded Linux zur
Verfügung.
Als Alternative zu »ureadahead« wird
auch ein Werkzeug namens »e4rat« gehandelt,
das die zum Booten benötigten
0,74
Daten auf der Festplatte zusätzlich so
umsortiert, dass sie in einer sinnvollen
Reihenfolge hintereinanderliegen [10].
0,7
Tests anlässlich dieses Artikels konnten
gegenüber »ureadahead« aber keine signifikanten
Verbesserungen messen.
0,67
Langsame Automatik
Für die Optimierung der Userland-Bootzeit
schlagen die Experten einen ganzen
Reigen
0,63
unterschiedlicher Maßnahmen
vor. Zunächst sollte der Admin alle nicht
benötigten Dienste entfernen und benötigte
– falls möglich – nach dem eigentli-
0,59
0,55
0,51
0,48
0,44
0,4
0,36
0,32
vfp_init
packet_init
cubictcp_register
psmouse_init
smc_driver_init
sym2_init
brd_init
pty_init
amba_clcdfb_init
init_jffs2_fs
init_nfs_fs
1_sd_probe_async
»sym2_init()«
Abbildung 5: Mit der passenden Bootoption gestartet
zeigt das Linux-System in der Boot-Tracer-
Auswertung eine deutlich verkürzte Startzeit.

opensourcepress.de
BÜCHER
Neu
Aug.
2012
ISBN 978-3-941841-41-3 mit DVD
447 Seiten · brosch. · 44,90 [D]
ISBN 978-3-941841-68-0 mit DVD
ca. 180 Seiten · brosch. · 24,90 [D]
Neuauflage
Neuauflage
Abbildung 6: Bootchart malt detailliert auf, welche Task zu welchen Zeitpunkten aktiv ist.
chen Booten starten. Sehr viel Zeit spart,
wer Gerätedateien nicht automatisch
per Udev, sondern statisch anlegt. Erfolg
versprechend ist es auch, auf den Init-
Mechanismus zu verzichten und lieber
die einzelnen Dienste mit einem eigenen
Startup-Skript zu starten. Für ein
Desktop-Ubuntu ist das sicherlich keine
geeignete Maßnahme, für ein Embedded-
System aber sehr wohl.
Für dieses Umfeld sind auch die weiteren
Tipps gedacht, nämlich optimierte
C-Bibliotheken zu verwenden, Applikationen
statisch zu linken und unnötige Informationen
mittels »strip« zu entfernen.
Wer noch mehr Zeit rauskitzeln möchte,
prüft schließlich die Applikationen selbst
und versucht per Profiling deren Laufzeitschwächen
aufzudecken.
Die im Internet abrufbaren Erfolgsmeldungen
zeigen einheitlich, dass eine signifikante
Reduktion der Bootzeit mit ein,
zwei, vielleicht auch drei Tagen Arbeit zu
erreichen ist. Danach mag immer noch
Potenzial für weitere Verkürzungen bestehen,
der Aufwand steigt aber unverhältnismäßig.
(mhu)
n
Infos
[1] Make Linux Software, „Super Fast Boot of
Embedded Linux“: [http:// www. makelinux.​
com/ emb/ fastboot/ omap]
[2] Grabserial: [http:// elinux. org/ Grabserial]
[3] Quade, Kunst, „Kern-Technik“, Folge 62:
Linux-Magazin 05/​12, S. 84
[4] Michael Opdenacker, „Cheap Linux boot
time reduction techniques“:
[http:// free‐electrons. com/ pub/​
conferences/ 2011/ genivi/ boot‐time. pdf]
[5] Chris Simmonds, „Reducing boot time in
Linux devices“:
[http:// www. embedded‐linux. co. uk/​
downloads/ WE‐2. 2Paper_Simmonds. pdf]
[6] Embedded-Linux-Wiki, „Boot Time“:
[http:// elinux. org/ Boot_Time]
[7] Sanjeev Premi, „Optimize Linux Boot
Time“: [http:// processors. wiki. ti. com/​
index. php/ Optimize_Linux_Boot_Time]
[8] Free Electrons, „Flash Filesystem Benchmarks“:
[http:// elinux. org/ Flash_Filesystem_Benchmarks]
[9] Scott James Remnant (keybuk), „All about
ureadahead“: [http:// ubuntuforums. org/​
showthread. php? t=1434502]
[10] Lifehacker, „E4rat Seriously Cuts Down on
Linux Boot Time With a Few Simple Commands“:
[http:// lifehacker. com/ 5790311/
e4rat‐cuts‐your‐linux‐pcs‐boot‐time‐in
‐half‐with‐a‐few‐simple‐commands]
Die Autoren
Eva-Katharina Kunst, Journalistin, und Jürgen
Quade, Professor an der Hochschule Niederrhein,
sind seit den Anfängen von Linux Fans von Open
Source. In der Zwischenzeit ist die dritte Auflage
ihres Buches „Linux Treiber entwickeln“
erschienen.
ISBN 978-3-941841-81-9
551 Seiten · brosch. · 39,90 [D]
opensourceschool.de
TRAINING
ISBN 978-3-941841-25-3
736 Seiten · brosch. · 49,90 [D]
Programmierung
23. – 24.08. Qt für Fortgeschrittene
03. – 04.09. C++: STL und Boost
03. – 05.09. SCJP/OCP Java 6 Programmer
03. – 05.09. Python
03. – 05.09. HTML5
03. – 05.09. iPhone und iPad Entwicklung
04. – 06.09. OpenLayers
06. – 07.09. CSS3
Webentwicklung
12. – 14.09. JavaScript
17. – 19.09. TYPO3 Extbase/Fluid Entwicklung
Administration
27. – 29.08. Administration von OTRS
27. – 31.08. Virtualisierung mit Xen
03. – 04.09. TCP/IP-Analyse mit Wireshark
10. – 14.09. Vorbereitung auf LPIC-2
10. – 14.09. Vorbereitung auf LPI 301
weitere Themen und Termine:
opensourceschool.de/kurstermine

Programmieren
www.linux-magazin.de Java-Threads 09/2012
82
Thread-Programmierung mit Java
Eingefädelt
Seit der ersten Version von Java sind Threads ein fester Bestandteil der Sprache. Das macht vieles einfacher
als in anderen Programmiersprachen. Neuere Versionen der Java-Bibliothek bieten darüber hinaus viele nützliche
Klassen für Locking und Synchronisierung. Bernhard Bablok
jedes neu geschaffene Objekt eine eindeutige
ID aus einer globalen Sequenznummer.
In diesem trivialen Beispiel ist
natürlich die »getID()«-Methode nicht
wirklich nötig, es würde reichen, wenn
der Konstruktor synchronisiert wäre. Die
»main()«-Methode ab Zeile 21 erzeugt 100
Threads mit einer anonymen Runnable-
Klasse. Wer das Verhalten ohne »synchronized«
testen will, der entfernt dieses
Schlüsselwort aus Zeile 9 und führt folgende
Zeilen aus:
© nena2112, photocase.com
Als die erste Java-Version im Jahr 1995
erschien, gab es kaum einen Desktop-
Rechner mit mehr als einem Prozessor.
Trotzdem war die Unterstützung von
Threads von Anfang an ein fester Bestandteil
der Sprache und für den zentralen
Anwendungsfall notwendig. Der
Hintergrund war, dass Java als Frontend
für Serveranwendungen dienen und
das Frontend nicht durch langsame Dateitransfers
lahmgelegt werden sollte.
Weitsicht
Die weitere Entwicklung von Java ging
dann zwar in eine andere Richtung – Java-
Applets spielen kaum mehr eine Rolle –,
doch von der Weitsicht der Sprachentwickler
profitieren Java-Programmierer
nach wie vor.
Die Grundlage aller Threadprogramme
sind das Interface »java.lang.Runnable«
und die Klasse »java.lang.Thread«. Das
Interface definiert als einzige Schnittstelle
die »run()«-Methode. Eigene Thread s
erweitern entweder »Thread« oder implementieren
»Runnable« und starten
den Thread mit der statischen Methode
»Thread.start(Runnable r)«.
Der gesicherte Zugriff auf gemeinsam genutzte
Ressourcen gelingt mit Hilfe des
»synchronized«-Schlüsselworts. Der Programmierer
kann Synchronisierung auf
drei Ebenen durchführen.
Möglich sind
die Synchronisierung
der gesamten Klasse
(etwa »public synchronized
class Foo{...}«),
einzelner Methoden
(»public synchronized
int getID() {...}« oder
einzelner Code-Abschnitte.
Die Beispielklasse in
Listing 1 vergibt für
javac ‐d . ObjectID.java
java ‐classpath . ObjectID | sort | uniq ‐c
Nicht bei jedem Lauf kommt es zu Problemen,
je nach Geschwindigkeit des Rechners
und der vorhandenen Prozessoren
fällt es sogar schwer, zwei Objekte mit
gleicher ID zu provozieren (Abbildung
1). Dies ist übrigens einer der Gründe,
warum Fehler in parallelen Programmen
häufig schwer zu finden und zu korrigieren
sind.
Die Wahl der Synchronisationsebene
wirkt sich auf die Effizienz der Programme
aus. Je kleiner der Geltungsbereich
des Lock ist, desto geringer die
Auswirkungen auf andere, eventuell unbeteiligte
Programmteile.
Abbildung 1: Ohne »synchchronized« erzeugt Listing 1 gelegentlich zwei
Objekte mit der gleichen ID, zu erkennen an der Zwei in der ersten Spalte.

Die Java-Sprachdesigner bewiesen zwar
Weitsicht mit der Integration des Threadings.
Ihnen ist jedoch beim ersten Wurf
ein folgenschwerer Fehler unterlaufen.
So enthält die Threadklasse mit »Thread.
suspend()«, »Thread.resume()«, »Thread.
stop()« und »Thread.destroy()« eine Reihe
scheinbar sehr nützlicher Funktionen für
das Threadmanagement. Dummerweise
sind diese Methoden inhärent fehlerhaft
und wurden schon in der Java-Version
1.1 als »deprecated« erklärt. Die Dokumentation
des JDK enthält dazu sogar ein
eigenes Dokument, das die Problematik
beschreibt [1].
Die sichere Methode, einen Thread zu
stoppen, besteht darin, eine Instanzvariable
innerhalb des Thread zu ändern.
Die »run()«-Methode muss diese Variable
regelmäßig auf Änderungen überwachen.
Alternativ ruft der Programmierer die Methode
»Thread.interrupt()« auf. Threads,
die auf Ein- oder Ausgaben warten, reagieren
aber nicht darauf.
Eine weitere Methode der Threadklasse,
die je nach Implementierung anders tickt,
ist »Thread.setPriority()«. Die Prioritätssteuerung
hat nichts mit irgendwelchen
Nice-Werten unter Linux zu tun, sondern
dient allein dem internen Thread-
Dispatcher der JVM. Ob und wie er die
einzelnen Prioritäten behandelt, ist Implementationssache.
Java befindet sich nach wie vor in ständiger
Weiterentwicklung, die Sprache
hat mit jeder Version weitere Features
im Multithreading-Bereich gewonnen. In
Version 1.2 kam zum Beispiel die Klasse
»ThreadLocal« hinzu. Sie erlaubt Klassenvariablen,
die unterschiedlich für jeden
Thread sind.
Collections
Eine wichtige Erweiterung von Java 2
war zudem das Collection-Framework.
Collections sind nicht per se Thread-sicher,
besitzen aber so genannte Fail-Fast-
Iteratoren. Das bedeutet, dass Iteratoren
sofort und sauber eine Exception werfen,
wenn ein anderer Thread eine Collection
verändert hat, während der Programmierer
über die Collection iteriert. Braucht er
tatsächlich eine komplett Thread-sichere
Collection, dann liefern diese verschiedene
Factory-Methoden wie etwa »List.
synchronizedList()«.
Abbildung 2: Es lohnt sich für den Java-Programmierer, die Javadoc zu den Concurrency-Klassen zu lesen.
Mit den Thread-APIs von Java 1.2 hatte
der Entwickler alles, was er für Multithreaded-Programme
braucht. Trotzdem
war das Programmieren eher mühselig,
denn es handelte sich um Low-Level-
APIs. Wichtige Fragen, die in jedem Programm
immer wieder auftauchen, blieben
unbeantwortet: Wie sollen Abbrüche
behandelt werden? Muss das Programm
für jede Aufgabe einen neuen Thread
erzeugen? Wie verhindere ich, dass zu
viele Threads das System lahmlegen? Wie
synchronisieren sich mehrere Threads
am sinnvollsten? Wie implementiere ich
atomare Operationen?
Concurrency-Framework
Mit Java 5 (also JDK 1.5) hielt das Concurrency-Framework
Einzug in die Java-
Listing 1: Schlüsselwort »synchronized«
01 import java.lang.*;
02 import java.io.*;
03
04 class ObjectID {
05 private static int seq=0;
06
07 private int id;
08
09 private synchronized int getID() {
10 return seq++;
11 }
12
13 public ObjectID() {
14 id = getID();
15 }
16
17 public void print() {
Bibliotheken. Dieses Framework gibt
die Antworten auf die oben gestellten
Fragen und bügelt so die verbliebenen
Unzulänglichkeiten der Thread-APIs
aus. Die folgenden Abschnitte führen
in einige zentrale Klassen ein. Weil das
Framework aber recht umfangreich ist,
sollte der Entwickler unbedingt in der
Java-Dokumentation im Package »java.
util.concurrent« stöbern (Abbildung 2).
Viele der Klassen sind dort mit eingängigen
Codeschnipseln erläutert.
Ressourcenkontrolle
Seit Java 5 hat der Entwickler die verfügbaren
Ressourcen viel besser im Griff.
Threads sind zwar leichtgewichtiger als
native Prozesse, trotzdem ist die ständige
Neuerzeugung (kurzlaufender) Threads
18 System.out.println("ID: " + id);
19 }
20
21 public static void main(String[] args) {
22 for (int i=0; i

Programmieren
www.linux-magazin.de Java-Threads 09/2012
84
Abbildung 3: Im4java, ein Wrapper für Imagemagick, kann mehrere Bilder auf den verfügbaren Prozessoren
parallel bearbeiten.
Listing 2: Im4java
01 public class ProcessExecutor extends
ThreadPoolExecutor {
02 public ProcessExecutor(int pProcs) {
03 // create superclass with pProcs threads
04 super(pProcs,pProcs,60,TimeUnit.SECONDS,
05 new LinkedBlockingQueue());
06 prestartAllCoreThreads();
07 }
08 [...]
09 }
01 // load all files
02 iImages = load();
03
04 ProcessExecutor exec = new ProcessExecutor();
05 for (String img:iImages) {
06 ConvertCmd cmd = new ConvertCmd();
07 ProcessTask pt = cmd.getProcessTask(...);
08 exec.execute(pt);
09 }
10 exec.shutdown();
Listing 3: »ThreadPoolExecutor()«
in Aktion
eine Verschwendung. Threadpools sorgen
für die Wiederverwendung von Threads.
Die Verwaltung übernehmen vorgefertigte
Klassen wie »ThreadPoolExecutor«.
Threads im Pool
Im4java [2] beispielsweise, ein Projekt
des Autors, nutzt eine Subklasse von
»ThreadPoolExecutor«. Das Programm
(Abbildung 3) ist ein Java-Wrapper um
Imagemagick und kann mehrere Bilder
auf den verfügbaren Prozessoren eines
Systems parallel bearbeiten.
Der Executor stellt dabei sicher, dass maximal
die per »pProcs« angeforderte Anzahl
an Threads parallel läuft. In Listing
2 sorgt ein Timeout-Wert von 60 Sekunden
dafür, dass sich untätige Threads
im Threadpool nach einer Minute der
Inaktivität automatisch beenden. Das
letzte Argument für den Konstruktor des
»ThreadPoolExecutor« ist eine Umsetzung
der so genannten »BlockingQueue«.
Dabei handelt es sich um ein Interface
des Concurrency-Framework. Mit diesen
Queues lassen sich die Arbeitsaufgaben
verwalten. Neben Fifo-Queues und anderen
existiert auch eine »PriorityBlocking-
Queue«, die eine feingranulare Prioritätensteuerung
bietet.
Die Anwendung zeigt Listing 3. Für jedes
Bild erstellt die Schleife in Zeile 7
eine Task – »ProcessTask« ist eine Subklasse
von »FutureTask« – und übergibt
die Task an den Executor, der sie dann in
die Queue einspeist und abarbeitet, sobald
ein entsprechender Thread aus dem
Pool frei ist. Nach der Schleife beendet
das Programm den Executor in Zeile 10.
Dieser Aufruf blockiert nicht. Das Programm
könnte jetzt mit einem Aufruf von
»exec.awaitTermination()« auf das Ende
der Verarbeitung warten.
Die im vorigen Absatz erwähnte »Future-
Task« ist ebenfalls eine neue Klasse des
Concurrency-Framework. Objekte dieser
Klasse sind Runnables, die zusätzlich sowohl
Zugriff auf das Ergebnis der asynchronen
Berechnung bieten (Methode
»get()«), also auch Lifecycle-Methoden
wie »cancel()« oder »isDone()«. Die Get-
Methode blockiert, falls die Berechnung
noch nicht fertig ist.
Locking und
Synchronisation
Parallele Codeteile einfach zu verwalten
und auszuführen ist aber nur ein Teil der
Aufgabe. Häufig müssen Threads Ergebnisse
weiterreichen oder Informationen
austauschen. Dabei kommen mehrere
Arten von Lock- und Synchronisationsobjekten
ins Spiel. Locking mittels »synchronized«
ist dabei nur ein Spezialfall für ein
Listing 4: Paralleler Zugriff mit Semaphoren
01 import java.io.*;
02 import java.util.concurrent.*;
03 import java.util.concurrent.atomic.*;
04
05 public class SemTest {
06 private static Semaphore sem = new
Semaphore(3,true);
07 private static AtomicInteger counter = new
AtomicInteger(0a);
08
09 public void doCriticalWork() {
10 try {
11 sem.acquire();
12 int currentCounter =
counter.addAndGet(1);
13 Thread.currentThread().sleep(100);
14 System.out.println("current counter: "
+ currentCounter);
15 counter.addAndGet(‐1);
16 sem.release();
17 } catch (Exception e) {
18 }
19 }
20
21 public static void main(String[] args) {
22 for (int i=0; i

Threads berechnen Teilsummen
»CyclicBarrier«
»CyclicBarrier«
simples Reentrant-Lock. Die Klasse »Semaphore«
des Concurrency-Framework
steuert den Zugriff auf Ressourcen. Je
nach Initialisierung arbeitet ein Semaphor
binär (ähnlich einem Mutex) oder erlaubt
den Zugriff mehrfach. Da die Semaphor-
Implementation von Java keinen Owner
kennt, können auch fremde Threads die
Ressourcen wieder freigeben.
Details zu dieser Klasse gibt es wie üblich
in der Javadoc. Das Beispiel in Listing 4
simuliert einen kritischen Abschnitt, den
maximal drei Threads parallel betreten
dürfen. Der Code nutzt außerdem einen
der mit dem Framework eingeführten
atomaren Datentypen, die eine Implementierung
von Zählern einfacher gestalten
als in Listing 1.
Objekte tauschen
Aggregation der
Teilsummen
Aggregation der
Teilsummen
Abbildung 4: An einer »CyclicBarrier« warten die
Threads, bis alle fertig sind. Das geschieht mehrmals,
wobei jeder Durchgang die Teilergebnisse
aggregiert.
Java bietet aber noch mehr: Ein Objekt
vom Typ »Exchanger« synchronisiert
zwei Threads, die dabei Objekte tauschen.
Anwendungsfälle sind alle Arten
von Objekten, die ein Thread erstellt
und ein zweiter Thread abarbeitet. Nun
speichert der erste Thread die erzeugten
Objekte in einem Puffer und übergibt den
vollen Puffer mittels eines Exchangers an
einen Verarbeitungsthread. Gleichzeitig
bekommt er einen leeren Puffer zurück.
Die Anwendung arbeitet also mit zwei
Puffern und entkoppelt Erstellung und
Verarbeitung.
Ein anderer Typ von Synchronisationsobjekten
ist »CyclicBarrier« (siehe Abbildung
4). An einer Barriere wartet eine
konfigurierbare Anzahl von Threads,
bevor es weitergeht. Solche Objekte sind
nützlich, wenn der Entwickler ein Problem
in eine feste Anzahl von Teilen aufspalten
kann und diese von jeweils einem
Thread bearbeitet lässt.
Läuft jeder Thread nur genau einmal,
bedarf es natürlich keines Synchronisationsobjekts
– hier wartet das Hauptprogramm
nur, bis alle Threads fertig sind.
Soll das Programm aber iterativ immer
wieder Teilergebnisse aggregieren, dann
erlaubt es »CyclicBarrier«, eine Lösung
einfach umzusetzen.
Countdown
Etwas anders verhält sich »CountDown-
Latch«. Hier warten Threads, bis ein Zähler
auf Null steht. Ein Anwendungsfall
dafür ist ein Hauptprogramm, das eine
Reihe von Threads aufsetzt und startet,
aber gleichzeitig verhindern will, dass
sie schon loslaufen, bevor der Initialisierungsprozess
fertig ist.
Hierzu erzeugt das Hauptprogramm ein
Objekt vom Typ »CountDownLatch«
und initialisiert den Zähler mit Eins. Die
Threads warten nach dem Start, bis der
Zähler Null ist (Listing 5). Das Beispiel
implementiert das Verfahren „Synchronisierung
mit Bedingungsvariablen“
(Abbildung 5) aus dem C++-Artikel
im Linux-Magazin 08/​12 [3]. Die Java-
Umsetzung fällt jedoch deutlich kompakter
aus, da die Sprache Klassen auf
Der Autor
Bernhard Bablok betreut bei der Allianz
Managed &Operations Services SE ein großes
Datawarehouse mit technischen Performance-
Messdaten von Mainframes bis zu Servern. Wenn
er nicht Musik hört, mit dem Radl oder zu Fuß
unterwegs ist, beschäftigt er sich mit Themen
rund um Linux und Objektorientierung.
HPC meets Cloud -
The International Conference
on the Use of Cloud for High
Performance Computing (HPC)
Register Today!
www.isc-events.com/cloud12
Keynote:
The Helix Nebula Initiative
Bob Jones – CERN
Rupert Lueck – EMBL
Wolfgang Lengert – ESA
Highlights:
Industrial Cloud - Best Practices
Research Cloud - User Experiences
Engineering Clouds -
Commercial Software in the Cloud
Big Data Cloud Computing
Panel: HPC Cloud Challenges
Vendor Panel with Sponsors
Interactive BoFs on Hot Topics of HPC
Full Catering
Get Together Networking Party

Programmieren
www.linux-magazin.de Java-Threads 09/2012
86
Herb
Scott
Bjarne
Andrei
Andrew
David
Worker Boss
Worker Boss
Worker
»prepared«
»prepared«
»prepared«
»prepared«
»prepared«
»prepared«
höherem Abstraktionsniveau bereitstellt.
Im Gegensatz zur »CyclicBarrier« ist ein
»CountDownLatch« nicht erneut verwendbar
(siehe hierzu auch [4]).
Gut einzufädeln
»START
YOUR WORK«
Noch nie war die parallele Programmierung
unter Java so einfach. Dank Concurrency-Framework
existiert eine ganze
»done«
»done«
»done«
»done«
»done«
»done«
»GO HOME«
Abbildung 5: Mit Hilfe des »CountDownLatch« lässt sich folgender Arbeitsablauf abbilden: Die Arbeiter geben
Bescheid, wenn sie bereit oder fertig sind, der Chef veranlasst den Arbeitsbeginn und den Feierabend.
Reihe von High-Level-APIs, die die Umsetzung
verschiedenster paralleler Algorithmen
stark vereinfachen und damit
sicherer machen.
Die Entwicklung setzt sich weiter fort:
Auch die Java-Versionen 6 und 7 haben
neue Klassen bekommen, wenn auch
die Veränderungen im Vergleich zu Java
5 deutlich kleiner ausfallen. Wer in die
parallele Programmierung unter Java
einsteigen will, sollte sich unbedingt
mit dem zugehörigen Java-Tutorial [5]
beschäftigen. Es vermittelt einen schnellen
Einstieg in die Gedankenwelt des
Framework. (mhu)
n
Infos
[1] Diskussion der Probleme von Thread-
Methoden: [http:// docs. oracle. com/ javase/​
7/ docs/ technotes/ guides/ concurrency/​
threadPrimitiveDeprecation. html]
[2] Im4java: [http:// im4java. sourceforge. net]
[3] Rainer Grimm, „Im Gleichtakt“:
Linux-Magazin 08/​12, S. 88
[4] „CountDownLatch vs. CyclicBarrier“:
[http:// stackoverflow. com/ questions/​
4168772/ java‐concurrency‐countdown
‐latch‐vs‐cyclic‐barrier]
[5] Java-Tutorial über Concurrency:
[http:// docs. oracle. com/ javase/ tutorial/​
essential/ concurrency/ index. html]
[6] Listings zu diesem Artikel:
[http:// www. linux‐magazin. de/ static/​
listings/ magazin/ 2012/ 09/ java‐threads]
Listing 5: Synchronisierung mit »CountDownLatch«
01 import java.lang.*;
02 import java.io.*;
03 java.util.concurrent.*;
04
05 public class Boss {
06
07 public static void main(String[] args) {
08 try {
09 CountDownLatch prepSignal = new CountDownLatch(6);
10 CountDownLatch startSignal = new CountDownLatch(1);
11 CountDownLatch endSignal = new CountDownLatch(6);
12
13 System.out.println("\nBOSS: PREPARE YOUR WORK\n");
14 new Thread(new Worker("Herb",prepSignal,startSignal,
endSignal)).start();
15 new Thread(new Worker("Scott",prepSignal,startSignal,
endSignal)).start();
16 new Thread(new Worker("Bjarne",prepSignal,startSignal,
endSignal)).start();
17 new Thread(new Worker("Andrei",prepSignal,startSignal,
endSignal)).start();
18 new Thread(new Worker("Andrew",prepSignal,startSignal,
endSignal)).start();
19 new Thread(new Worker("David",prepSignal,startSignal,
endSignal)).start();
20 prepSignal.await();
21
22 System.out.println("\nBOSS: START YOUR WORK\n");
23 startSignal.countDown();
24
25 endSignal.await();
26 System.out.println("\nBOSS: GO HOME\n");
27 } catch (Exception e) {
28 }
29 }
30 }
31
32 class Worker implements Runnable {
33 private String iName;
34 private CountDownLatch iPrepSignal, iStartSignal, iEndSignal;
35
36 Worker(String pName, CountDownLatch pPrepSignal,
37 CountDownLatch pStartSignal, CountDownLatch pEndSignal) {
38 iName = pName;
39 iPrepSignal = pPrepSignal;
40 iStartSignal = pStartSignal;
41 iEndSignal = pEndSignal;
42 }
43
44 public void run() {
45 try {
46 long prepareTime = 500 + (long) (1500*Math.random());
47 Thread.currentThread().sleep(prepareTime);
48 System.out.println(iName + " work prepared after " +
49 prepareTime + " milliseconds");
50 iPrepSignal.countDown();
51 iStartSignal.await();
52 long workTime = 200 + (long) (200*Math.random());
53 Thread.currentThread().sleep(workTime);
54 System.out.println(iName + " work done after " +
55 workTime + " milliseconds");
56 iEndSignal.countDown();
57 } catch (InterruptedException ex) {
58 }
59 }
60 }

Admin-MAGAZIN
im Jahres-Abo
Jede Ausgabe des Admin-Magazins bietet praktisch anwendbares Wissen
von ausgewiesenen Experten und ausführliche Hintergrundberichte für alle
Systemverwalter von Linux, Unix und Windows. Die Schwerpunkte reichen von
Storage und Backup bis hin zu Netzwerk-Themen und Security.
Ein Sonderteil hilft Admins heterogener Welten.
15 % sparen
Jetzt bestellen unter:
www.admin-magazin.de/abo
sichern Sie Sich Ihr
gratis ADMIN T-Shirt!
• Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@admin-magazin.de
Mit dem Jahres-Abo erhalten Sie 6 Ausgaben des Admin-Magazins zum Vorzugspreis von E 49,90 * statt E 58,80 *
(Lieferung frei Haus).
* Preise gelten für Deutschland. Schweiz: SFr 82,32; Österreich: E 54,90; anderes Europa: E 59,90

Programmieren
www.linux-magazin.de Three.js 09/2012
88
3-D-Szenen im Browser mit Three.js
Ausblick in 3-D
Mit HTML 5 kommt 3-D-Unterstützung in den Browser. Dank Web GL stellen Firefox, Chrome & Co. dreidimensionale
Welten ohne spezielle Plugins oder Viewer dar. Zusätzlich macht die Javascript-Bibliothek Three.js dem
Programmierer die Arbeit leicht. Johannes Raida, Carsten Zerbst
sie sich in der Konfigurationsdatei »/usr/
share/applications/google‐chrome.desktop«
mit der folgen Zeile erzwingen:
Exec=/opt/google/chrome/google‐chromeU
‐‐enable‐webgl ‐ignore‐gpu‐blacklist %U
© view7, photocase.com
Unter dem Schlagwort HTML 5 zieht ein
ganzes Bündel neuer Technologien in die
Browser auf Desktoprechnern und Mobilgeräten
ein [1]. Darunter befindet sich
eine, die die Tür zur 3-D-Welt aufstößt:
Web GL. Die Web Graphics Library [2]
ist eine Javascript-Schnittstelle für die
3-D-Bibliothek Open GL. Damit können
normale HTML-Seiten dreidimensionale
Anteile enthalten, die Hardware-beschleunigt
auf der Grafikkarte laufen.
Web GL ist in den Desktop-Browsern
Mozilla Firefox (ab Version 4), Opera (ab
Version 12) und Google Chrome (ab Version
9) umgesetzt. Da die Khronos Group
als Basis Open GL für Embedded-Systeme
(Open GL ES) nutzt, lässt es sich auch
unter Android mit Firefox for Mobile und
Opera Mobile nutzen.
Die Idee, 3-D-Anwendungen ins Web zu
bringen, ist zwar nicht neu, doch alle bisherigen
Anläufe wie VRML, Java-Applets
mit Java-3-D/​Jogl oder 3-D-Flash erreichten
wegen der erforderlichen Installation
von speziellen Viewern, Java-Bibliotheken
oder der geringen Performance nur
ein begrenztes Publikum. Dank der breiten
Web-GL-Unterstützung in den Browsern
darf der Entwickler nun erstmals
eine große Nutzerschar erwarten.
Hardware-Unterstützung
Der Stand auf dem eigenen Rechner lässt
sich am einfachsten mit der Testseite [3]
des Web-GL-Konsortiums ermitteln. Zeigt
sie bei Firefox keine Unterstützung an,
empfiehlt es sich, die Einstellungen unter
»about:config« mit Abbildung 1 zu vergleichen.
Chrome ist bei den Grafikkarten
etwas wählerisch. Falls die Web-GL-Unterstützung
dort nicht sofort klappt, lässt
Details zur Grafikkarte zeigt Chrome unter
der URL »chrome://gpu«.
Programmieren mit Open GL war nie ein
Spaziergang, auch Web GL zeigt keinen
großen Unterschied. Mit Javascript fällt
anders als bei C oder Java zwar das Kompilieren
weg, dennoch ist mit dieser Lowlevel-Bibliothek
eine ganze Menge Code
für das erste Erfolgserlebnis zu schreiben.
Abhilfe schafft eine darüberliegende
Bibliothek, die Standardaufgaben wie
das Erstellen von Basisgeometrien oder
das Laden von Modellen oder Texturen
kapselt. Dieses Extra an Benutzerfreundlichkeit
bietet die Javascript-Bibliothek
Three.js [4].
Sie stammt von einem spanischen Programmierer,
der sich „Mr. Doob“ nennt,
und steht unter MIT-Lizenz. Einen Überblick
über die Möglichkeiten von Three.
js bietet die umfangreiche Demoseite auf
der Projekthomepage: vom einfachen
Würfel über komplexe 3-D-Szenen bis
hin zu Vertex- und Fragment-Shadern.
Weitere Beispiele finden sich im Blog von
Jerome Etienne [5] und auf der Seite
„Learning Web GL“ [6]. Diese Beispiele
lassen die oft gehörten Bedenken über die
Leistungsfähigkeit vergessen. Javascript
kann es als Sprache zwar nicht mit der
Performance von C++- oder Java aufnehmen,
doch sobald die Daten in den
Open-GL-Stack geladen sind, spielt das
kaum mehr eine Rolle.
Web GL kommt auch noch nicht an die
Leistung von jahrzehntelang gepflegten
C++- [7] oder Java-Anwendungen [8]

Abbildung 1: Die Web-GL-Einstellungen finden sich beim Browser Firefox
heran, doch Welten
mit mehreren Hunderttausend
Polygonen
lassen sich sinnvoll
nutzen und laufen dafür
ohne jede Installation
plattformübergreifend
ab. Egal wie aufwändig
die Szenen
sind, alle Three.js-Programme
durchlaufen
dabei die gleichen unter »about:config«.
Schritte:
n Laden der Javascript-Bibliotheken
n Erzeugen der Zeichenfläche
n Erzeugen der Three.js-Szene
n Starten der Eventloops
Ein einfaches Beispiel für diesen Ablauf
ist in Listing 1 zu sehen, das die Webseite
in Abbildung 2 erzeugt. Das Beispiel
verwendet die Three.js-Hauptbibliothek
sowie die Hilfsklasse »Detector.js«. Die
HTML-Seite bindet die Bibliotheken mit
dem »script«-Tag im Header ein. Die
Zeilen 16 und 17 verwenden dazu eine
absolute URL, auf dem eigenen Server
verfügbare Bibliotheken lassen sich auch
über einen relativen Pfad wie »js/Three.
js« laden. Die von Three.js gezeichnete
Fläche ist anders als bei Plugins und Applets
kein Fremdkörper in der Webseite,
der Browser behandelt sie als Teil des
normalen HTML.
Im Beispiel dient ein einfaches »div«-
Element mit der ID »ThreeJSCanvas« als
Malfläche. Der Entwickler kann dessen
Position, Größe, Hintergrundfarbe und
vieles mehr über Cascading Style Sheets
(CSS) definieren. Im Beispiel sind unterschiedliche
Hintergrundfarben für den
2-D- (Weiß) und 3-D-Teil (Grau) angegeben,
ebenso wäre ein gemeinsames Hintergrundbild
möglich.
Die eigentliche Implementierung des
Beispiels findet im Javascript-Block ab
Zeile 25 statt. Er ruft nacheinander die
Funktionen zum Initialisieren der Szene
Abbildung 2: Die Webseite aus Listing 1 erstellt eine einfache 3-D-Szene.

Programmieren
www.linux-magazin.de Three.js 09/2012
90
Nicht mehr dargestellt,
da hinter Far-Plane
Camera.far
und zum Starten der Eventloop auf. Die
»init«-Funktion nutzt zuerst die Hilfsbibliothek
»Detector.js«. Diese prüft, ob der
Browser Web GL unterstützt, und zeigt
dies über das Attribut »webgl« an. Falls
dies zutrifft, kann das Skript den Hardware-beschleunigten
Web-GL-Renderer
verwenden, ansonsten erzeugt es den
»CanvasRenderer«. Der funktioniert auch
auf Browsern ohne Web GL, bietet aber
deutlich weniger Features.
Camera.fov
Camera.lookAt
Camera.near
Camera.position
Abbildung 3: Das Frustum bestimmt den Blick in die 3-D-Welt. Three.js bildet die Eigenschaften der Sichtpyramide
in Javascript-Variablen ab.
Als Nächstes ist es erforderlich, den Renderer
mit dem HTML-Element zu verbinden.
Zeile 51 fragt dazu das »div«-Element
anhand der ID aus dem DOM (Document
Object Model) ab. Die folgenden Zeilen
ermitteln die Größe des Elements und
übergeben sie dem Renderer. In Zeile 60
fügt das Skript das DOM-Element des
Renderers ins »div«-Element ein.
Damit ist der 3-D-Teil in die HTML-Seite
eingebettet. Jetzt geht es an die Definition
der 3-D-Szene. Sie ist durch ein »THREE.
Scene«-Objekt repräsentiert, das als Vaterknoten
für die darzustellende Geometrie
sowie Kamera und Lichter dient.
Kamera läuft
Der Beispielcode behandelt zuerst die
Kamera (ab Zeile 67). Three.js bietet drei
Kameraklassen: eine mit perspektivischer
Projektion (»PerspectiveCamera«), eine
mit orthogonaler (»OrthographicCamera«)
sowie eine, die zwischen beiden Projektionen
umschalten kann (»Combined‐
Camera«). Beim Erzeugen der Kamera
gibt der Programmierer den Blickwinkel
(»fov«), das Seitenverhältnis sowie die
minimale (»near«) und maximale Distanz
(»far«) zur Geometrie an. Damit definiert
er das Frustum, also den pyramidenförmigen
Sichtbereich in die Szene, dessen
Inhalt der Browser rendert. Abbildung
3 zeigt das Frustum mit den jeweiligen
Three.js-Parametern. Das Beispiel in [9]
demonstriert einige dieser Werte.
Listing 1: Ein einfaches Beispiel (I)
001
002
003
004 Three.js Beispiel
005
006 body {
007 background‐color: #ffffff;
008 }
009
010 #ThreeJSCanvas {
011 background: #ababab;
012 width: 800px;
013 height: 600px;
014 }
015
016
017
018
019
020 WebGL Beispiel
021 Lorem ipsum dolor sit amet, consetetur ...
022
023
024
025
026 var renderer;
027 var scene;
028 var camera;
029 var cameraControl;
030 var cubusMesh;
031
032 // Initialisiere die Szene
033 init();
034
035 // Animiere die Szene
036 animate();
037
038 function init(){
039 console.log("init");
040
041 // Wenn WebGL vom Browser unterstützt wird, nutze den
042 // hardwarebeschleunigten WebGL‐Renderer, ansonsten den
043 // normalen CanvasRenderer
044 if(Detector.webgl){
045 renderer = new THREE.WebGLRenderer({antialias:true});
046 } else {
047 renderer = new THREE.CanvasRenderer();
048 }
049
050 // Hole das definierte DIV‐Element anhand seiner ID
051 var divElement = document.getElementById('ThreeJSCanvas
');
052
053 // Renderer auf Groesse des DIV‐Elementes setzen
054 var canvasWidth = divElement.offsetWidth;
055 var canvasHeight = divElement.offsetHeight;
056
057 renderer.setSize(canvasWidth, canvasHeight);
058
059 // und an das DIV‐Element anhängen
060 divElement.appendChild(renderer.domElement);
061

In vielen Fällen soll der Anwender die
Kameraposition und ‐blickrichtung steuern
können. Three.js bietet dafür fertige
Lösungen, zum Beispiel das in Zeile 73
definierte »TrackballControls()«. Diese
Steuerung zeigt das allgemein übliche
Verhalten: Drehen der Kamera bei gedrückter
linker Maustaste, Zoomen bei
gedrückter mittlerer, Verschieben bei
gedrückter rechter Maustaste. Weitere
Controls wie das »FirstPersonControl()«
(Durchwandern der Szene wie in einem
Shooter) sind verfügbar oder lassen sich
programmieren.
Eine Kamera kann im Dunkeln wenig
ausrichten, deshalb definiert der Code
ab Zeile 76 eine Lichtquelle und weist ihr
eine Position zu. Sie strahlt weißes Licht
(»0xffffff«) mit voller Intensität (»1.0«)
aus. Im Beispiel ist das Licht fest in der
Szene positioniert.
Nun fehlt noch die 3-D-Welt selbst.
Listing 1 erzeugt mittels Javascript ab
Zeile 81 eine Ebene und ab Zeile 88 einen
Kubus. Für jeden Körper definiert
Abbildung 4: Komplexe Modelle inklusive Schatten stehen ohne Plugin im
der Code zuerst die
Geometrie und erzeugt
dann zusammen
mit einem Material
(»Mesh«) die Oberfläche.
Das Mesh wird
ähnlich wie zuvor die
Kamera positioniert
und in die Szene eingehängt.
Das Material entscheidet
über das Aussehen
des Körpers: Neben
einfachen Farben kann
der Entwickler auch
Texturen oder Shader
für die Oberflächen Browser bereit.
nutzen. Damit ist die
Definition der 3-D-Welt abgeschlossen
und die Eventloop kann starten.
Innerhalb der Eventloop bearbeitet der
Code in regelmäßigen Intervallen Nutzereingaben
oder animiert die Szene, bevor
ein neues Bild aus der 3-D-Szene gerendert
wird. Dafür ist im Beispiel die Funktion
»animate()« zuständig, die das erste
Mal in Zeile 36 nach der Definition der
Szene zum Zuge kommt. Damit aus dem
einmaligen Aufruf eine echte Eventloop
wird, kommt die Funktion »requestAnimationFrame();«
zum Einsatz. Sie wird
vom Browser verwaltet und sorgt für den
Three.js 09/2012
Programmieren
www.linux-magazin.de
91
Listing 1: Ein einfaches Beispiel (II)
062 // Erzeuge die Szene in die alle Objekte eingefügt
werden
063 scene = new THREE.Scene();
064
065 // Erzeuge die Kamera, positioniere sie
066 // und richte auf Ursprung ein
067 camera = new THREE.PerspectiveCamera(50,
canvasWidth / canvasHeight, 1, 10000);
068 camera.position.set(3, 4, 5);
069 camera.lookAt( new THREE.Vector3( 0, 0,0));
070 scene.add(camera);
071
072 // Steuerung der Kamera mit der Maus
073 cameraControl = new THREE.TrackballControls(camera,
renderer.domElement);
074
075 // Eine Lichtquelle definieren und einfügen
076 var directionalLight = new THREE.
DirectionalLight(0xffffff, 1.0);
077 directionalLight.position = new THREE.Vector3(
20,20,20);
078 scene.add(directionalLight);
079
080 // Eine 5X5 große Ebene
081 var planeGeo = new THREE.PlaneGeometry(5, 5, 20,
20);
082 var planeMat = new THREE.MeshLambertMaterial(
{color: 0xef0000});
083 var mesh = new THREE.Mesh(planeGeo, planeMat);
084 mesh.doubleSided = true
085 scene.add(mesh);
086
087 // Ein Kubus
088 var cubusGeo = new THREE.CubeGeometry( 1, 2, 4,
1,2,4); //new Three.new THREE.TorusGeometry( 1, 0.42 );
089 var cubusMat = new THREE.MeshLambertMaterial(
{ color: 0x00ef00 } );
090 cubusMesh = new THREE.Mesh( cubusGeo, cubusMat );
091 cubusMesh.position = new THREE.Vector3( 0, 1.01,
0);
092
093 scene.add( cubusMesh );
094
095
096 }
097
098 function animate(){
099
100 // Drehen des Kubus
101 cubusMesh.rotation.y = 1e‐4* new Date().getTime();
102 // Drehen der Kamera entsprechend Nutzereingaben
103 cameraControl.update();
104
105 // Darstellen der Szene
106 renderer.render(scene, camera);
107
108 // Nächstes Rendern nur wenn nötig
109 requestAnimationFrame(animate);
110 }
111
112
113
114

Programmieren
www.linux-magazin.de Three.js 09/2012
92
Abbildung 5: Die Visualisierung der Daten zur Bevölkerungsverteilung kombiniert
2-D- und 3-D-Anteile.
regelmäßigen Aufruf der »animate()«-
Funktion. Dabei unterbricht sie auch die
Eventloop, etwa wenn das Fenster gerade
nicht sichtbar ist, und spart dadurch Systemressourcen.
Zuvor rotiert Listing 1 jedoch den Kubus
um seine y-Achse und aktualisiert
die Kameraposition entsprechend den
Nutzer eingaben. Auch wenn sie auf den
ersten Blick ähnlich erscheinen, handelt
es sich dabei um zwei unterschiedliche
Bewegungen: Die eine dreht einen Körper
in der Szene, die andere den Blick auf die
Szene. Nachdem die 3-D-Szene entsprechend
aktualisiert ist, ruft Zeile 106 den
Renderer auf, um sie in einer 2-D-Ansicht
abzubilden.
Nur Ebenen und Kuben, das wäre ein
wenig langweilig – für das Erzeugen der
3-D-Szenen stellt Three.js weitere Möglichkeiten
bereit. Es kann Geometrieprimi
tive (Dreiecke, Kuben, Zylindern,
Kugeln, Linien) erzeugen sowie Flächen
zu Volumenkörpern extrudieren. Daneben
lädt die Bibliothek extern definierte
01 var loader = new THREE.JSONLoader();
02 loader.load("mini.json", function(geometry){
03 var material = new THREE.MeshLambertMaterial(
04
{ color: 0x00efef } );
05 mesh = new THREE.Mesh(geometry, material);
06
07 mesh.doubleSided = true;
08 THREE.GeometryUtils.center(geometry);
09 scene.add(mesh);
Listing 2: Json-Daten laden
10 });
Geometrien und lässt
Vertex-Shader auf der
Grafikkarte berechnen.
Gerade das Laden
externer Geometrien
macht Three.js für
viele Anwendungsfälle
attraktiv, denn es
erlaubt das Einbinden
leistungsfähiger Modellierwerkzeuge
wie
Blender oder eines
CAD-Systems.
Abhängig vom Format
führt der Weg dabei
entweder über einen
Three.js-Loader für
Fremdformate wie
Object Wavefront, Collada
und VTK oder über einen Konverter,
der Dateien in das Json-Format von
Three.js übersetzt. Dabei handelt es sich
um eine Ascii-Datei, in der die Punkte,
Flächen, Normalen und Farben definiert
sind. Selbst animierte Modelle wie beispielsweise
laufende Personen lassen
sich in solchen Dateien ablegen.
Geometrie-Import
Im Quelltext von Three.js finden sich unter
»utils/exporters« sowohl Konverter für
die Kommandozeile als auch Plugins für
Blender und 3DS Max. Weitere Konverter
lassen sich relativ schnell programmieren:
Das Motorrad in Abbildung 4 haben die
Autoren mit einem selbst geschriebenen
Konverter aus dem in der CAD-Welt verbreiteten
JT-Format nach Json exportiert.
Das Laden der Json-Dateien ist in Listing
2 zu sehen. Die Funktion »load()« nimmt
sowohl die URL der Json-Datei als auch
eine Callback-Funktion für die weitere
Behandlung nach dem Laden entgegen.
Diese Funktion definiert ähnlich wie die
manuell erstellte Geometrie aus Listing 1
das Material, erzeugt ein Mesh und fügt
es der Szene hinzu.
Über das Mesh-Attribut »doubleSided«
kann man das so genannte Backface Culling
deaktivieren, sodass beide Seiten der
Fläche dargestellt werden. Ohne diesen
Parameter würde nur jene Seite gerendert,
deren Normalenvektor zur Kamera
schaut. Sind die Normalenvektoren nicht
einheitlich, können dabei Löcher in der
Oberfläche entstehen. Die »Geometry‐
Utils« verschieben die Geometrie in den
Koordinatenursprung, ansonsten wird
sie in der Originalposition positioniert
und ist eventuell nach dem Laden nicht
sichtbar.
Beim Laden externer Geometrie greifen
die normalen Sicherheitsmechanismen
der Browser. Chrome etwa lässt es nur
zu, wenn die HTML-Seite und Json-Daten
vom selben Server kommen. Das Laden
direkt von der lokalen Festplatte ist nur
möglich, wenn Chrome mit der Option
»‐disable‐web‐security« startet.
Dieser Artikel hat die Möglichkeiten
des vielseitigen Three.js gerade mal angekratzt:
Neben explizit erzeugter oder
geladener Geometrie unterstützt die Bi‐
Infos
[1] Peter Kreußel, „Fünf am Start“:
Linux-Magazin 10/​10. S. 94
[2] Web GL: [http:// www. khronos. org/ webgl/]
[3] Web-GL-Test: [http:// get. webgl. org]
[4] Three.js:
[https:// github. com/ mrdoob/ three. js/]
[5] „Learning Three.js“:
[http:// learningthreejs. com]
[6] „Learning Web GL“:
[http:// learningwebgl. com/ blog/]
[7] Open Scene Graph:
[http:// www. openscenegraph. org]
[8] Jmonkey Engine:
[http:// jmonkeyengine. com]
[9] Frustum: [http:// mrdoob. github. com/​
three. js/ examples/ webgl_camera. html]
[10] Shader-Tutorial:
[http:// aerotwist. com/ tutorials/
an‐introduction‐to‐shaders‐part‐1/]
[11] Visualisierung der Bevölkerungsentwicklung:
[http:// data‐arts. appspot. com/ globe]
[12] Zombies versus Cow:
[http:// yagiz. me/ zombiesvscow/]
[13] Physisjs:
[http:// chandlerprall. github. com/ Physijs/]
[14] CSG: [http:// evanw.​github. com/ csg. js/]
[15] Dat-gui:
[http:// code. google. com/ p/ dat‐gui/]
[16] Web-GL-Inspector: [http:// benvanik.​
github. com/ WebGL‐Inspector/]
[17] Threenodes.js:
[http:// idflood. github. com/ ThreeNodes. js]
[18] CADoculus: [http:// www. cadoculus. de]
[19] Listings zu diesem Artikel:
[http:// www. linux‐magazin. de/ static/​
listings/ magazin/ 2012/ 09/ three. js/]

Abbildung 6: Auch Spiele wie „Zombie versus Cow“ verwenden Three.js.
bliothek auch Visualisierungstechniken
wie Sprites und bietet ein Partikelsystem.
Darüber hinaus lassen sich Geometrie
und Farben mit Vertex- und Fragment-
Shadern bis ins letzte Detail gestalten
[10]. Anwendungen wie Datenvisualisierungen
[11] oder das Spiel „Zombie
versus Cow“ [12] demonstrieren, was
möglich ist (Abbildungen
5 und 6).
Bei der Umsetzung
von Web GL in den
Browsern, der Weiter
entwicklung von
Three.js selbst und
auch in der Konverter-Welt
wird sich in
nächster Zeit noch einiges
tun. Bei Spielen
etwa durch Physik-Engines
wie Physijs [13],
in der CAD-Welt durch
die CSG-Bibliotheken
(Constructive Solid
Geometry, Verknüpfung von Grundkörper
über boolesche Operationen, [14]).
Bei der Entwicklung helfen die üblichen
Javascript-Werkzeuge wie »dat‐gui« [15]
oder die Konsolen in Firefox und Chrome.
Der Web-GL-Inspector [16] kann tief in
den Open-GL-Stack blicken. Alternativ
lässt sich mit Threenodes.js aber
auch [17] die komplette 3-D-Szene per
Drag & Drop definieren.
Bereits jetzt ist der Einstieg in die 3-D-
Programmierung mit Three.js so einfach
wie mit kaum einer anderen Technik.
Die Verbreitung von Web-GL-fähigen
Browsern sowohl auf dem Desktop wie
auch auf mobilen Geräten ist schon jetzt
recht gut und wird in den nächsten Jahren
zunehmen. Gerade aus der Kombination
von 2-D und 3-D ergeben sich
zunehmend Anwendungsideen, die weit
jenseits der Demo-Szene oder des Spielebereichs
liegen. Die Autoren dieses Artikels
arbeiten zum Beispiel an einem Viewer
names CADo culus, der CAD-Daten
im Webbrowser anzeigt [18]. (mhu) n
Die Autoren
Johannes Raida und Carsten Zerbst erstellen
Individual-Software für die Automobil-, Luft- und
Raumfahrtindustrie. Ihr besonderer Schwerpunkt
ist Software für CAD, PDM und Datenaustausch.
Three.js 09/2012
Programmieren
www.linux-magazin.de
93
Abo abschließen und gewinnen!
Sparen Sie 15% beim Print- oder Digital-Abo
und gewinnen Sie ein Motorola Motoluxe
im Wert von circa 220 Euro!
Die Verlosung erfolgt am 03.09.12
um 12 Uhr unter allen Abonnenten
(außer Miniabos)
Die Monatszeitschrift für Android-Fans, Smartphone- und Tablet-Nutzer
Jetzt bestellen unter:
www.android–user.de/abo
Telefon 07131 / 2707 274 • Fax 07131 / 2707 78 601 • E-Mail: abo@android-user.de

Programmieren
www.linux-magazin.de Perl-Snapshot 09/2012
96
Mit Heroku Webapplikationen starten
Einfach abheben
Wer in seiner Lieblingssprache eine Webapplikation zusammenklopfen und kostenlos veröffentlichen möchte,
findet bei Heroku viel Komfort. Sogar ein eigener Webserver darf als Sprungbrett dienen. Michael Schilli
© john krempl, photocase.com
1 #!/usr/bin/env perl
2 use Mojolicious::Lite;
3
4 get '/' => {
In letzter Zeit hört man auf Konferenzen
häufig das Wort „Polyglot“ [2]: Passé
sind die Tage, in denen Entwickler sich
mit Tunnelblick auf eine Programmiersprache
und ihr Ökosystem konzentrierten
und Errungenschaften anderer
Systeme mit rotem Kopf für überflüssig
erklärten. Vielmehr spioniert der Ingenieur
von Welt heute in den Foren der Konkurrenz,
erkennt fortschrittliche Entwicklungen
und adaptiert sie zum Einsatz in
der bevorzugten Sprache oder dem Applikationsstack
der Wahl. Auch die Hoster
von Webapplikationen unterstützen
5 text => "I'll be your server tonight." };
6
7 app‐>start;
Listing 1: »myapp.pl«
diesen Trend und bieten ihre Dienste für
unterschiedlichste Programmiersprachen
und Runtime-Umgebungen an.
Alles schon eingebaut
So verfährt zum Beispiel der Applikationshoster
Heroku.com. Er liegt eine Abstraktionsebene
über Amazons AWS-Cloud,
hat seine Plattform bewusst Sprachen-agnostisch
aufgesetzt und unterstützt etwa
ein Dutzend Programmiersprachen [3].
Der Entwickler entlässt seine Releases
mit Hilfe des Revisionssystems Git in die
Freiheit und findet sich losgelöst von den
technischen Anforderungen realer Server.
Dies erlaubt schnelle Entwicklungszyklen
mit erstaunlich wenig administrativem
Aufwand.
Listing 1 zeigt eine simple Webapplikation,
die das Framework Mojolicious vom
CPAN nutzt, das über einen eingebauten
Webserver verfügt. Von der Kommando-
zeile mit dem Befehl »daemon« und einer
Webadresse auf dem lokalen Rechner gestartet
(Abbildung 1) übergibt es einem
Browser den fest einkodierten Textstring
(Abbildung 2).
Um das Ganze im Internet auf einem
Heroku-Server laufen zu lassen, sind nur
wenige Schritte notwendig. Als Erstes
muss der User sich bei Heroku mit einer
E-Mail-Adresse kostenlos registrieren.
Weitere Angaben entfallen. Bestätigt der
User den Eingang der E-Mail, darf er ein
Passwort setzen.
Das Kommandozeilentool „Heroku Toolbelt“,
das sich unter Ubuntu Linux mit
wget ‐qO‐ https://toolbelt.heroku.com/U
install.sh | sh
herunterladen und installieren lässt, findet
nach dem Aufruf von »heroku login«
wie in Abbildung 3 die lokal verwendeten
Public Keys und überträgt einen
davon nach Bestätigung an den Heroku-
Server.
Ab diesem Zeitpunkt kommuniziert der
User mit dem Heroku-System, ohne das
Passwort nochmals einzutippen. Weitere
Public Keys für weitere Rechner zur Wartung
bereits installierter Applikationen
fügt er mit dem Werkzeuggürtel und dem
Kommando »heroku keys:add« an.
Reisegepäck
Für eine Perl-Applikation benötigt Heroku
die Dateien »Makefile.PL« sowie das
Shellskript »Perloku«. Diese Dateien ins-
Perl-Snapshot feiert Jubiläum!
Der erste Artikel der Perl-Snapshot-Reihe im
Linux-Magazin erschien im Oktober 1997, also
schließt sie diesen Monat das 15. Jahr ab. Der
Autor bedankt sich für alle Leserzuschriften
und freut sich auf weitere Anregungen.

Abbildung 1: Im Beispiel startet der Programmierer die Mojolicious-Applikation
auf Port 8888 des lokalen Rechners.
Abbildung 2: Ergebnis im Browser: Das einfache Mojolicious-Skript erzeugt im
Browser die gewünschte Ausgabe.
Perl-Snapshot 09/2012
Programmieren
tallieren die nötigen CPAN-Module und
werfen den eingebauten Mojolicious-Server
an. Listing 2 zeigt das Makefile. Das
Shellskript »Perloku« enthält folgendes
Kommando:
./myapp.pl daemon -l http://*:$PORT U
-m production
Zusammen mit dem vorher erwähnten
Applikationsskript »myapp.pl« aus
Listing 1 liegen beide in einem lokalen
Verzeichnis, in dem der User jetzt ein
Git-Repository mit »git init« anlegt. Die
Befehlsfolgen »git add *« und »git commit«
mit einem Commit-Kommentar zementieren
die Version.
Die Perl-typische Datei »Makefile.PL«
gibt das CPAN-Modul Mojolicious in der
Version 3.05 als Abhängigkeit an. Mojolicious
hingegen benötigt keine weiteren
CPAN-Module. Folgendes Kommando
schickt das Triplet jetzt an Heroku:
heroku create ‐s cedar ‐‐buildpack U
http://github.com/judofyr/perloku.git
Bei »buildpack« handelt es sich um einen
auf Github abgelegten Adapter, der
Heroku Perl-Applikationen mit Skripten
schmackhaft macht. So sagt er Heroku,
dass das Kommando zum Start der Applikation
in »Perloku« zu finden ist. Im
lokalen Git-Repository definiert das Kommando
»heroku create« zudem eine im
Git-Jargon so genannte Remote, die auf
das Heroku-Repository zeigt. An dieses
schickt der User den Code mit dem Kommando
»git push heroku master«.
So schickt Git zuerst die drei Source-Dateien
an Heroku, das dann die in »Makefile.PL«
angegebenen
CPAN-Module installiert
und zum Start des
handgestrickten Servers
das Kommando
in der Datei »Perloku«
aufruft. Heroku ruft
das Shellskript »Perloku«
per Konvention
mit der Environment-
Variablen »PORT« auf,
die auf den Port gesetzt ist, auf dem der
in »myapp.pl« eingebaute Webserver auf
eingehende Requests lauschen soll. Das
Shellskript fügt den Wert in den Parameter
für die Option »‐l« ein und übergibt
das Ganze an »myapp.pl«, das nun genau
Bescheid weiß.
Abschließend spuckt Heroku die offizielle
Webadresse der Applikation aus, im
Beispiel ist das »http://hollow‐fog‐8976.
herokuapp.com«. Ein Browser, der diese
Adresse aufruft, zeigt das erwartete Ergebnis
(Abbildung 4).
Grenzen testen
In der kostenlosen Version laufen die
hochgeladenen Standalone-Server zwar
durchgängig und speichern Daten im
RAM-Speicher des Perl-Prozesses. Doch
für Addons verlangt Heroku, den Account
zu verifizieren, was derzeit nur durch
Angabe einer gültigen Kreditkarte möglich
ist. Beispiele für Addons sind Datenbanken
zur persistenten Speicherung
oder No-SQL-Lösungen wie Redis zur
Kommunikation zwischen verschiedenen
Instanzen, die besser skalieren.
Weiter ist zu beachten, dass Heroku die
Prozesse nach einigen Stunden herunterfährt,
falls die Requests ausbleiben. Trudeln
neue Requests ein, starten die Prozesse
wieder. Der Webkunde merkt das
daran, dass die Webapplikation verzögert
lädt, und der Entwickler daran, dass alle
im flüchtigen Speicher gehaltenen Daten
verloren sind.
Statt Mojolicious kann jedes vom CPAN
installierbare Framework herhalten, so
Abbildung 3: Das Kommandozeilen-Tool »heroku« des so genannten Heroku
Toolbelt loggt den User ein.
auch der asynchrone Baukasten „Any-
Event“ mit seinem Standalone-Webserver
»AnyEvent::HTTPD«. Listing 3 zeigt die
Perl-Applikation, die den Webserver auf
dem mit »‐p« hereingegebenen Port startet,
Requests von Webclients annimmt
und mit dem gleichen, hart einkodierten
Ausgabe-String beantwortet. Das leicht
veränderte »Perloku« übergibt den von
Heroku hereingereichten Port mit »‐p«:
./myapp.pl -p $PORT
Die in Zeile 4 angepasste Datei »Makefile.
PL« aus Listing 2 fordert nun ein anderes
CPAN-Modul zur Installation an:
4 PREREQ_PM => {'AnyEvent::HTTPD' => '0.93'}
Statt eines statischen Strings liefert eine
nützliche Applikation freilich lieber dynamische
Daten zurück. So schickt sich
Listing 2: »Makefile.PL«
1 #!/usr/bin/env perl
2 use ExtUtils::MakeMaker;
3 WriteMakefile(
4 PREREQ_PM => {'Mojolicious' => '3.05'}
5 );
Listing 3: »myapp.pl«
01 #!/usr/bin/env perl
02 use AnyEvent::HTTPD;
03 use Getopt::Std;
04
05 getopts "p:", \my %opts;
06
07 my $httpd = AnyEvent::HTTPD‐>new(
08 port => $opts{ p } );
09
10 $httpd‐>reg_cb (
11 '/' => sub {
12 my ( $httpd, $req ) = @_;
13
14 $req‐>respond ( {
15 content => [ 'text/html',
16 "I'll be your server tonight." ]
17 } );
18 },
19 );
20
21 my $cv = AnyEvent‐>condvar();
22 $cv‐>recv();
www.linux-magazin.de
97

Programmieren
www.linux-magazin.de Perl-Snapshot 09/2012
98
01 #!/usr/bin/env perl
02 use Mojolicious::Lite;
Abbildung 4: Das einfache Hello-Skript läuft nun im
offenen Internet auf einem Heroku-Server.
Listing 4 an, die IP des Users anzuzeigen.
Im verwendeten Mojolicious-Framework
gibt die Methode »remote_address()« die
IP-Adresse des Besuchers an. Die Methode
verwendet dazu das von »tx()« gelieferte
Objekt, das die Transaktionsdaten
des Webrequests bereithält.
Der Trick mit der IP
Abbildung 5 hält aber eine Überraschung
bereit: Die dort angezeigte IP-Adresse liegt
im Bereich 10.x.x.x und ist damit eine
nicht routbare interne Heroku-Adresse.
03
04 get '/whatsmyip' => sub {
05 my( $self ) = @_;
06
07 $self‐>render( text =>
08 "Your IP is " .
09 $self‐>tx‐>remote_address() );
10 };
11
12 app‐>start;
01 #!/usr/bin/env perl
02 use Plack::Runner;
1 #!/usr/bin/env perl
2 use ExtUtils::MakeMaker;
3 WriteMakefile(
4 PREREQ_PM => {
5 'PLACK' => '0.9969' }
6 );
Listing 4: »myapp.pl« (I)
03
04 my $runner = Plack::Runner‐>new;
05 $runner‐>parse_options( @ARGV );
06 $runner‐>run( sub {
07 my( $env ) = @_;
08
09 return [ 200,
10 [ "Contenat‐type" => "text/html" ],
11 [ "Hello from Plack"]
12 ];
13 } );
Listing 5: »myapp.pl« (II)
Listing 6: »Makefile.PL«
Abbildung 5: Heroku zeigt statt der IP-Adresse des
Besuchers eine interne IP-Adresse an.
Sie offenbart, dass auf dieser Plattform
magische Zwischenschichten agieren,
bevor der Request bei der Applikation
eintrifft. Die erweiterten Zeilen 07 bis 09
von »myapp.pl« aus Listing 4 zaubern
die eigentlich gewünschte IP-Adresse des
Besuchers hervor:
07 $self->render( text =>
08 "Your IP is " .
09 $self->req->headers->header(
10 "x-forwarded-for" ) );
Denn wie sich nach einigem Experimentieren
herausstellte, ist die Original-IP
glücklicherweise noch im Header »x‐forwarded‐for«
des eingehenden Requests
verfügbar. Abbildung 6 zeigt das korrekte
Ergebnis.
Geliehenes Superduo:
PSGI und Plack
Jedes Mal, wenn eine Perl-Anwendung
vom Entwicklungsserver auf einen Apache-Produktionsserver
wandert, vergeudet
das Zeit, weil »mod_perl« und »CGI.
pm« Parameter unterschiedlich übergeben.
Wer hat sich nicht schon gefragt, ob
das sein muss? Muss es nicht. Die Schnittstelle
PSGI und ihre Implementierung
Plack [4] stammen aus dem Web-Ökosystem
Rails um die Programmiersprache
Ruby. Hier heißt das Interface WSGI und
seine Implementierung Rack.
WSGI definiert eine einheitliche CGI-artige
Schnittstelle zwischen beliebigen
Webservern und Webapplikationen. Plack
produziert den nötigen Superklebstoff,
um jede PSGI-kompatible Webanwendung
– inklusive Webframeworks wie
Catalyst oder Dancer – unmodifiziert auf
einem beliebigen Webserver laufen zu
lassen. Voraussetzung ist nur, dass es
einen PSGI-Adapter gibt. Mit eigenem
Server entwickelter und getesteter Code
läuft dann sowohl auf Apache 1 als auch
auf Apache 2.
Listing 5 zeigt die fertig programmierte
Applikation. Das zugehörige »Makefile.
Abbildung 6: Über den Header »x‐forwarded‐for«
berichtet Heroku nun die richtige IP-Adresse.
PL« aus Listing 6 zieht lediglich das
CPAN-Modul Plack herein und Heroku
startet den Server nach einem »git push«
ohne viel Federlesen. PSGI erfordert ein
denkbar simples Interface: Alle eingehenden
Parameter kommen als Referenz auf
einen Hash herein und die Applikation
liefert eine Referenz auf einen Array mit
Statuscode, Headern und schließlich mit
dem Inhalt (Body) der Antwort. Das stellt
sicher, dass für jeden Webserver mit einfachsten
Mitteln ein passender Adapter
programmierbar ist.
Das Modul Plack::Runner startet den in
Plack enthaltenen Standalone-Webserver,
sodass dieses Skript nach einem »git push«
anstandslos auf Heroku.com läuft.
Bereit zum Abheben
Die Sprache Perl erlebt in letzter Zeit ein
Comeback in der Hosterszene. Nicht nur
Heroku unterstützt Perl, sondern auch
die Firmen Dotcloud, Juju, Openshift,
Stackato und andere. (ake) n
Infos
[1] Listings zu diesem Artikel:
[ftp:// www. linux‐magazin. de/ pub/ listings/​
magazin/ 2012/ 09/ Perl]
[2] Tatsuhiko Miyagawa, „Becoming a Polyglot“,
YAPC::NA 2012:
[http:// act. yapcna. org/ 2012/ talk/ 142]
[3] Heroku als „Polyglott Platform“:
[http:// blog. heroku. com/ archives/ 2011/ 8/ 3/​
polyglot_platform/]
[4] Plack: [http:// search. cpan. org/ dist/ Plack]
Der Autor
Michael Schilli arbeitet
als Software-Engineer bei
Yahoo in Sunnyvale, Kalifornien.
In seiner seit 1997
laufenden Kolumne forscht
er jeden Monat nach praktischen
Anwendungen der Skriptsprache Perl.
Unter [mschilli@perlmeister. com] beantwortet
er gerne Fragen.

Linux-Magazin
ACADEMY
LPIC-1
All-in-One Solution
✓
Stellen Sie Ihr Linux-Wissen mit
einer Zertifizierung unter Beweis!
✓ Nutzen Sie die volle Flexibilität bei
der Zeiteinteilung Ihrer Schulung!
✓ Holen Sie sich alles, was Sie
benötigen, in einem Paket!
LPIC-1 Komplettpaket* nur € 1.490
*Zertifizierung als „Junior Level Linux Professional“
100% flexibel!
Weitere Infos: academy.linux-magazin.de/solution

Service
www.linux-magazin.de IT-Profimarkt 09/2012
100
PROFI
MARKT
Sie fragen sich, wo Sie maßgeschneiderte
Linux-Systeme und kompetente
Ansprechpartner zu Open-Source-Themen
finden? Der IT-Profimarkt weist Ihnen
als zuverlässiges Nachschlagewerk
den Weg. Die hier gelisteten Unternehmen
beschäftigen Experten auf ihrem
Gebiet und bieten hochwertige Produkte
und Leistungen.
Die exakten Angebote jeder Firma entnehmen
Sie deren Homepage. Der ersten
Orientierung dienen die Kategorien
Hardware, Software, Seminaranbieter,
Systemhaus, Netzwerk/TK und Schulung/Beratung.
Der IT-Profimarkt-Eintrag
ist ein Service von Linux-Magazin
und LinuxUser.
Online-Suche
Besonders bequem finden Sie einen
Linux-Anbieter in Ihrer Nähe über die
neue Online-Umkreis-Suche unter:
[http://www.it-profimarkt.de]
Informationen
fordern Sie bitte an bei:
Linux New Media AG
Anzeigenabteilung
Putzbrunner Str. 71
D-81739 München
Tel.: +49 (0)89/99 34 11-23
Fax: +49 (0)89/99 34 11-99
E-Mail: anzeigen@linux-magazin.de
1 = Hardware 2 = Netzwerk/TK 3 = Systemhaus
IT-Profimarkt – Liste sortiert nach Postleitzahl
4= Fachliteratur 4= Seminaranbieter 5 = Software 5 = Software 6 = Schulung/Beratung 6 = Firma Anschrift Telefon Web 1 2 3 4 5 6
Schlittermann internet & unix support 01099 Dresden, Tannenstr. 2 0351-802998-1 www.schlittermann.de ✓ ✓ ✓ ✓
imunixx GmbH UNIX consultants 01468 Moritzburg, Heinrich-Heine-Str. 4 0351-83975-0 www.imunixx.de ✓ ✓ ✓ ✓ ✓
Heinlein Professional Linux Support GmbH 10119 Berlin, Schwedter Straße 8/​9b 030-405051-0 www.heinlein-support.de ✓ ✓ ✓ ✓ ✓
TUXMAN Computer 10369 Berlin, Anton-Saefkow-Platz 8 030-97609773 www.tuxman.de ✓ ✓ ✓ ✓ ✓
Hostserver GmbH 10405 Berlin, Winsstraße 70 030-47375550 www.hostserver.de ✓
Compaso GmbH 10439 Berlin, Driesener Strasse 23 030-3269330 www.compaso.de ✓ ✓ ✓ ✓ ✓
elego Software Solutions GmbH 13355 Berlin, Gustav-Meyer-Allee 25 030-2345869-6 www.elegosoft.com ✓ ✓ ✓ ✓
verion GmbH 16244 Altenhof, Unter den Buchen 22 e 033363-4610-0 www.verion.de ✓ ✓ ✓
Logic Way GmbH 19061 Schwerin, Hagenower Str. 73 0385-39934-48 www.logicway.de ✓ ✓ ✓ ✓
Sybuca GmbH 20459 Hamburg, Herrengraben 26 040-27863190 www.sybuca.de ✓ ✓ ✓ ✓ ✓
iTechnology GmbH 20537 Hamburg, Normannenweg 28 0)40 20 22 62 10 www.itechnology.de ✓ ✓ ✓ ✓
JEL Ingenieurbuero 23911 Einhaus, Hauptstr. 7 04541-8911-71 www.jeltimer.de ✓
beitco - Behrens IT-Consulting 26197 Ahlhorn, Lessingstr. 27 04435-9537330-0 www.beitco.de ✓ ✓ ✓ ✓ ✓
talicom GmbH 30169 Hannover, Calenberger Esplanade 3 0511-123599-0 www.talicom.de ✓ ✓ ✓ ✓ ✓
teuto.net Netzdienste GmbH 33602 Bielefeld, Niedenstr. 26 0521-96686-0 www.teuto.net ✓ ✓ ✓ ✓ ✓
MarcanT GmbH 33602 Bielefeld, Ravensberger Str. 10 G 0521-95945-0 www.marcant.net ✓ ✓ ✓ ✓ ✓ ✓
Hostserver GmbH 35037 Marburg, Biegenstr. 20 06421-175175-0 www.hostserver.de ✓
LINET Services GmbH 38122 Braunschweig, Am alten Bahnhof 4b 0531-180508-0 www.linet-services.de ✓ ✓ ✓ ✓ ✓ ✓
OpenIT GmbH 40599 Düsseldorf, In der Steele 33a-41 0211-239577-0 www.OpenIT.de ✓ ✓ ✓ ✓ ✓
Linux-Systeme GmbH 45277 Essen, Langenbergerstr. 179 0201-298830 www.linux-systeme.de ✓ ✓ ✓ ✓ ✓
Linuxhotel GmbH 45279 Essen, Antonienallee 1 0201-8536-600 www.linuxhotel.de ✓
OpenSource Training Ralf Spenneberg 48565 Steinfurt, Am Bahnhof 3-5 02552-638755 www.opensource-training.de ✓
Intevation GmbH 49074 Osnabrück, Neuer Graben 17 0541-33508-30 osnabrueck.intevation.de ✓ ✓ ✓ ✓
Sigs Datacom GmbH 53842 Troisdorf, Lindlaustraße 2c 02241-2341-201 sigs-datacom.de ✓
uib gmbh 55118 Mainz, Bonifaziusplatz 1b 06131-27561-0 www.uib.de ✓ ✓ ✓ ✓
LISA GmbH 55411 Bingen, Elisenhöhe 47 06721-49960 www.lisa-gmbh.de ✓ ✓ ✓ ✓ ✓
saveIP GmbH 64283 Darmstadt, Schleiermacherstr. 23 06151-666266 www.saveip.de ✓ ✓ ✓ ✓ ✓
LAMARC EDV-Schulungen u. Beratung GmbH 65193 Wiesbaden, Sonnenberger Straße 14 0611-260023 www.lamarc.com ✓ ✓ ✓ ✓
ORDIX AG 65205 Wiesbaden, Kreuzberger Ring 13 0611-77840-00 www.ordix.de ✓ ✓ ✓ ✓ ✓
LinuxHaus Stuttgart 70565 Stuttgart, Hessenwiesenstrasse 10 0711-2851905 www.linuxhaus.de ✓ ✓ ✓ ✓ ✓
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
(S.102)

Sie wünschen sich vielfältige und herausfordernde Aufgaben?
Dann sind Sie bei STRATO genau richtig.
Wir gestalten die Zukunft des Internets – innovativ & dynamisch.
STRATO gehört zu der Deutschen Telekom AG und zählt zu den begehrtesten
Arbeitgebern Deutschlands. Zur Verstärkung unseres Teams suchen
wir für den Standort Berlin ab sofort eine/n
Perl-Entwickler Server (m/w)
Schwerpunkt: Automatisiertes Server- und Funktionsmanagement
Bereich: Dedizierte / Virtuelle Server
Ihr Verantwortungsbereich
Konzeptionierung und Implementierung von neuen Produkten/
Funktionen für unsere Server-Produktlinie
Implementierung und Optimierung von datenbankgestützten Prozessen
Evaluierung und Integration von Hard- und Software-Lösungen
Ihre Persönlichkeit
Sie beherrschen die Skriptsprache Perl
Sie verfügen über fundiertes Wissen im Umgang mit SQL-Datenbanken
XML und SOAP sind keine Fremdwörter für Sie
Idealerweise haben Sie Kenntnisse in der Administration von
Linux-Systemen
Sie haben sichere Troubleshooting-Fähigkeiten und Freude an
unkonventionellen Problemlösungen
STRATO AG, Abteilung Personal, Pascalstraße 10, 10587 Berlin
E-Mail: personal@strato.de
strato.de /karriere/stellenangebote
Nagios
PIKETT
Jabber
Zürich
lvm
KVM
MiMiMi
DNS
sudo
Python
Rsync
Nginx
Ruby
Varnish
nerd NERF
IMAP Peering
WSGI
Apero
APT
Nginx
Teamgeist
xfs
DRDB DarkFiber
Cisco
Apache
Ubuntu
Postgres
Debian
Töggelikasten opensource
IPv6
SMTP
GBit IPtables
Logile
SSL
VPN LXC VIM
Tomcat
SSH
Heartbeat BGP
noob
Rails Bash GIT
DPKG
php LPIC
Dedicated
VServer
puppet
ext4
CUBE
Uetliberg
Quagga
SVN
TR0812_DE_AZ_Stellenanzeige_Perl_102x148_v2 1 11.07.1
Linux System Engineer gesucht!
Wenn dies keine Fremdworte für dich sind, dann bewerbe
dich jetzt bei nine.ch
http://nine.ch/about/jobs

Service
www.linux-magazin.de Markt 09/2012
102
IT-Profimarkt / Markt
Manfred IT-Profimarkt Heubach EDV – Liste und Kommunikation sortiert nach Postleitzahl 73728 Esslingen, Hindenburgstr. (Fortsetzung 47 von S. 100) 0711-4904930 www.heubach-edv.de
1 = Hardware 2 = Netzwerk/TK
✓ ✓
3
✓
= Systemhaus
✓
4= Seminaranbieter 5 = Software 6 = Beratung
Firma Anschrift Telefon Web 1 2 3 4 5 6
Waldmann EDV Systeme + Service 74321 Bietigheim-Bissingen, Pleidelsheimer Str. 25 07142-21516 www.waldmann-edv.de ✓ ✓ ✓ ✓ ✓
in-put Das Linux-Systemhaus 76133 Karlsruhe, Moltkestr. 49 0721-6803288-0 www.in-put.de ✓ ✓ ✓ ✓ ✓ ✓
Bodenseo 78224 Singen, Pomeziastr. 9 07731-1476120 www.bodenseo.de ✓ ✓ ✓
Linux Information Systems AG 81739 München, Putzbrunnerstr. 71 089-993412-0 www.linux-ag.com ✓ ✓ ✓ ✓ ✓
LinuxLand International GmbH 81739 München, Putzbrunnerstr. 71 089-99341441 www.linuxland.de ✓ ✓ ✓ ✓ ✓ ✓
Synergy Systems GmbH 81829 München, Konrad-Zuse-Platz 8 089-89080500 www.synergysystems.de ✓ ✓ ✓ ✓ ✓
B1 Systems GmbH 85088 Vohburg, Osterfeldstrasse 7 08457-931096 www.b1-systems.de ✓ ✓ ✓ ✓ ✓
ATIX AG 85716 Unterschleißheim, Einsteinstr. 10 089-4523538-0 www.atix.de ✓ ✓ ✓ ✓ ✓ ✓
OSTC Open Source Training and Consulting GmbH 90425 Nürnberg, Waldemar-Klink-Str. 10 0911-3474544 www.ostc.de ✓ ✓ ✓ ✓ ✓ ✓
Dipl.-Ing. Christoph Stockmayer GmbH 90571 Schwaig, Dreihöhenstr. 1 0911-505241 www.stockmayer.de ✓ ✓ ✓
pascom - Netzwerktechnik GmbH & Co.KG 94469 Deggendorf, Berger Str. 42 0991-270060 www.pascom.net ✓ ✓ ✓ ✓ ✓
fidu.de IT KG 95448 Bayreuth, Ritter-v.-Eitzenb.-Str. 19 09208-657638 www.linux-onlineshop.de ✓ ✓ ✓ ✓
Computersysteme Gmeiner 95643 Tirschenreuth, Fischerhüttenweg 4 09631-7000-0 www.gmeiner.de ✓ ✓ ✓ ✓ ✓
RealStuff Informatik AG CH-3007 Bern, Chutzenstrasse 24 0041-31-3824444 www.realstuff.ch ✓ ✓ ✓
CATATEC CH-3013 Bern, Dammweg 43 0041-31-3302630 www.catatec.ch ✓ ✓ ✓
Syscon Systemberatungs AG CH-8003 Zürich, Zweierstrasse 129 0041-44-4542010 www.syscon.ch ✓ ✓ ✓ ✓ ✓
Würth Phoenix GmbH IT-39100 Bozen, Kravoglstraße 4 +39 0471 56 41 11 www.wuerth-phoenix.com ✓ ✓ ✓ ✓
IT-Profimarkt listet ausschließlich Unternehmen, die Leistungen rund um Linux bieten. Alle Angaben ohne Gewähr.
n
Einfach auf LinuX umstEigEn!
DigiSub-Mini * : 2 digitale Ausgaben EasyLinux!
5€
FÜR 2 AUSGABEN
ihRE VoRtEiLE
❱ EasyLinuX ist idEaL
füR WindoWs-umstEigER
❱ mit schRitt-füR-schRittanLEitungEn
Zum ERfoLg
❱
❱
2X tEstEn ohnE Risiko,
das digisuB-mini ist
JEdERZEit kündBaR!
nutZBaR auf notEBook und Pc,
taBLEt odER smaRtPhonE!
JEtZt gLEich BEstELLEn!
n tel.: 07131 / 2707 274 n fax: 07131 / 2707 78 601 n uRL: www.easylinux.de/abo n E-mail: abo@easylinux.de
*geht ohne Kündigung in ein digitales Jahresabo mit 4 Ausgaben pro Jahr über und ist jederzeit kündbar!

OpenSource Training Ralf Spenneberg
Schulungen direkt vom Autor
Linux Firewall Lösungen
5 Tage 03.09. ­ 07.09.2012
DHCP, DNS und DNSSEC
3 Tage 18.09. ­ 20.09.2012
Advanced Monitoring
4 Tage 17.09. ­ 20.09.2012
LPIC­3
5 Tage 08.10. ­ 12.10.2012
Virtualisierung mit KVM
3 Tage 09.10. ­ 11.10.2012
Hacking Webapplications
4 Tage 16.10. ­ 19.10.2012
SELinux Administration
2 Tage 06.11. ­ 07.11.2012
Linux System Administration / LPIC­1
5 Tage 12.11. ­ 16.11.2012
IPv6 mit Linux
3 Tage 13.11. ­ 15.11.2012
Freie Distributionswahl:
Opensuse, Fedora, Debian Squeeze,
CentOS oder Ubuntu LTS
Ergonomische Arbeitsplätze
Umfangreiche Schulungsunterlagen mit
Übungen
Embedded Linux
Beratung - Schulung - Entwicklung
#1
#2
#3
#4
Am Bahnhof 3­5
48565 Steinfurt
Tel.: 02552 638755
Fax: 02552 638757
Weitere Informationen unter www.os­t.de
Mainline Linux
MX 53 / MX6
www.pengutronix.de
+49 (5121) 20 69 17 - 0
Single Core
Dual Core
Quad Core
Linux Portierung - Web - AJAX - Qt - Echtzeit
X25
… alles nur eine Frage der Lastverteilung !
Linux-Magazin
ACADEMY
BalanceNG ®
Online-Training
Prüfungsvorbereitung
für LPIC 1 & 2
Besorgen Sie sich Brief und
Siegel für Ihr Linux-
Knowhow mit der
LPI-Zertifizierung.
- Training für die Prüfungen
LPI 101 und 102
- Training für die Prüfungen
LPI 201 und 202
Sparen Sie mit
paketpreiSen!
20%
Treue-Rabatt für
Abonnenten
Informationen und Anmeldung unter:
academy.linux-magazin.de/lpic
●
Der Software Load-Balancer für Linux und Solaris
●
Voll virtualisierbar
●
Keine zusätzliche Hardware erforderlich
●
Security made in Germany:
Garantiert frei von versteckten “Backdoors”
Alle Informationen unter: www.BalanceNG.net
Inlab Software GmbH
Josef-Würth-Str. 3
82031 Grünwald
Tel: 089 / 64911420
http://www.inlab.de
LM-Academy_1-9h_Anzeige_LPIC-Mike_v2.indd 1
22.02.2012 17:12:54 Uhr

Service
www.linux-magazin.de Inserenten 09/2012
104
Inserentenverzeichnis
1&1 Internet AG http://​www.einsundeins.de 11
ADMIN http://​www.admin-magazin.de 87
Android User GY http://​www.android-user.de 39, 93
Campuy-Party http://​www.campus-party.eu 61
EasyLinux http://​www.easylinux.de 102
embedded projects GmbH http://​www.embedded-projects.net 101
Fernschule Weber GmbH http://​www.fernschule-weber.de 103
FrOSCon e.V. http://​www.froscon.de 53
Galileo Press http://​www.galileo-press.de 15
German Unix User Group (GUUG) e.V. http://​www.guug.de/​ 89
HACKATTACK IT SECURITY GmbH http://​www.hackattack.com 67
Hetzner Online AG http://​www.hetzner.de 108
Linux-Hotel http://​www.linuxhotel.de 19
Linux-Magazin http://​www.linux-magazin.de 31, 69
Linux-Magazin Academy http://​academy.linux-magazin.de 99, 103
Linux-Onlineshop/​Fidu http://​www.linux-onlineshop.de 107
LinuxUser http://www.linux-user.de 37
Mittwald CM Service GmbH & Co. KG http://​www.mittwald.de 17
Netways GmbH http://​www.netways.de 25
Nine Internet Solutions AG http://​www.nine.ch 101
O’Reilly Verlag GmbH & Co KG http://​www.oreilly.de 9
Open Source Press GmbH http://​www.opensourcepress.de 79
Pengutronix e.K. http://​www.pengutronix.de 103
Hostserver GmbH http://​www.hostserver.de 41
Ico Innovative Computer GmbH http://​www.ico.de 23
Inlab Software GmbH http://​www.inlab.de 103
ISC Events http://​www.isc-events.com/​ 85
Kamp Netzwerkdienste GmbH http://​www.kamp.net 35
PlusServer AG http://​www.plusserver.de 62, 74, 80, 94
Spenneberg Training & Consulting http://​www.spenneberg.com 103
Strato AG http://​www.strato.de 1, 2, 101
Einem Teil dieser Ausgabe liegt eine Beilage der Firma Strato AG (http://​www.
strato.de) bei. Wir bitten unsere Leser um freundliche Beachtung.
Veranstaltungen
08.-10.08.2012
USENIX Security ’12
Bellevue, WA
http://www.usenix.org/events/sec12/
20.-22.08.2012
YAPC Europe 2012
Universität Frankfurt/Main
http://act.yapc.eu/ye2012/
25.-26.08.2012
FrosCon 2012
Hochschule Bonn-Rhein-Sieg, Sankt Augustin
http://www.froscon.de
19.-21.09.2012
XDC2012
Suse Linux Products GmbH
Nürnberg
http://wiki.x.org/wiki/Events/XDC2012/
21.-23.09.2012
Open Source Hardware Convention 2012
Madrid, Spain
http://www.oshwcon.org
02.-03.10.2012
Apps World
London, UK
http://www.apps-world.net/europe/
18.-19.10.2012
Libre Software World Conference 2012
Santiago de Compostela, Spain
http://www.libresoftwareworldconference.com
20.-23.10.2012
OpenSuse Conference 2012
Prag, Tschechien
http://en.opensuse.org/Portal:Conference
23.-25.10.2012
Strata Conference 2012
New York, USA
http://strataconf.com/stratany2012/public/
content/home
29.-31.08.2012
LinuxCon North America
San Diego, CA, USA
https://events.linuxfoundation.org/events/linuxcon
08.-09.09.2012
Barcelona Ruby Conference
Barcelona, Spain
http://baruco.org
08.-10.10.2012
OSDI ’12
Hollywood, CA, USA
http://www.usenix.org/events/osdi12/
10.-11.10.2012
Webit Congress
Istanbul, Turkey
http://www.webitexpo.com/en/webit/2012/index.html
03.11.2012
9. Brandenburger Linux-Infotag 2012
Universität Potsdam
http://blit.org
07.-09.11.2012
Linuxcon Europe
Barcelona, Spain
https://events.linuxfoundation.org/events/
linuxcon-europe
19.09.2012
2012 High Performance Computing for Wall Street
New York, USA
http://www.flaggmgmt.com/hpc/
17.-19.10.2012
LibreOffice Conference 2012
Berlin
http://conference.libreoffice.org
09.-14.12.2012
LISA ’12
San Diego, CA, USA
http://www.usenix.org/events/lisa12/

Impressum
Linux-Magazin eine Publikation der Linux New Media AG
Redaktionsanschrift Putzbrunner Str. 71
81739 München
Tel.: 089/993411-0
Fax: 089/993411-99 oder -96
Internet
www.linux-magazin.de
E-Mail
redaktion@linux-magazin.de
Geschäftsleitung
Chefredakteure
stv. Chefredakteure
Brian Osborn (Vorstand), bosborn@linuxnewmedia.de
Hermann Plank (Vorstand), hplank@linuxnewmedia.de
Jan Kleinert (V.i.S.d.P.), jkleinert@linux-magazin.de (jk)
Markus Feilner, mfeilner@linux-magazin.de (mfe)
Mathias Huber, mhuber@linux-magazin.de (mhu)
Print- und Onlineredaktion
Aktuell, Forum Mathias Huber, mhuber@linux-magazin.de (mhu)
Software, Programmierung Mathias Huber, mhuber@linux-magazin.de (mhu)
Sysadmin, Know-how Markus Feilner, mfeilner@linux-magazin.de (mfe)
Ständige Mitarbeiter Fred Andresen (fan), Zack Brown, Mela Eckenfels, Peter
Kreußel, Tim Schürmann, Heike Jurzik (hej), Anika Kehrer
(ake), Charly Kühnast, Martin Loschwitz, Michael Schilli,
Mark Vogelsberger, Uwe Vollbracht, Arnold Zimprich (azi)
Schlussredaktion
Grafik
Bildnachweis
DELUG-DVD
Chefredaktionen
International
Produktion
Onlineshop
Abo-Infoseite
Abonnenten-Service
ISSN 1432 – 640 X
Jürgen Manthey
Judith Erb (Art Director), Mike Gajer,
xhoch4, München (Titel-Illustration)
123RF.com, Fotolia.de, Photocase.com, Pixelio.de und andere
Thomas Leichtenstern, tleichtenstern@linuxnewmedia.de (tle)
Linux Magazine International
Joe Casad (jcasad@linux-magazine.com)
Linux Magazine Poland
Artur Skura (askura@linux-magazine.pl)
Linux Magazine Spain
Paul C. Brown (pbrown@linux-magazine.es)
Linux Magazine Brasil
Rafael Peregrino (rperegrino@linuxmagazine.com.br)
Christian Ullrich, cullrich@linuxnewmedia.de
shop.linuxnewmedia.de
www.linux-magazin.de/Produkte
Lea-Maria-Schmitt
abo@linux-magazin.de
Tel.: 07131/27 07 274
Fax: 07131/27 07 78 601
CH-Tel: +41 43 816 16 27
Preise Print Deutschland Österreich Schweiz Ausland EU
No-Media-Ausgabe 4 5,95 4 6,70 Sfr 11,90 (siehe Titel)
DELUG-DVD-Ausgabe 4 8,50 4 9,35 Sfr 17,— (siehe Titel)
Jahres-DVD (Einzelpreis) 4 14,95 4 14,95 Sfr 18,90 4 14,95
Jahres-DVD (zum Abo 1 ) 4 6,70 4 6,70 Sfr 8,50 4 6,70
Mini-Abo (3 Ausgaben) 4 3,— 4 3,— Sfr 4,50 4 3,—
Jahresabo No Media 4 63,20 4 71,50 Sfr 99,96 4 75,40
Jahresabo DELUG-DVD 4 87,90 4 96,90 Sfr 142,80 4 99,90
Preise Digital Deutschland Österreich Schweiz Ausland EU
Heft-PDF Einzelausgabe 4 5,95 4 5,95 Sfr 7,70 4 5,95
DigiSub (12 Ausgaben) 4 63,20 4 63,20 Sfr 78,50 4 63,20
DigiSub (zum Printabo) 4 12,— 4 12,— Sfr 12,— 4 12,—
HTML-Archiv (zum Abo 1 ) 4 12,— 4 12,— Sfr 12,— 4 12,—
Preise Kombiabos Deutschland Österreich Schweiz Ausland EU
Mega-Kombi-Abo 2 4 143,40 4 163,90 Sfr 199,90 4 173,90
Profi-Abo 3 4 136,60 4 151,70 Sfr 168,90 4 165,70
1
nur erhältlich in Verbindung mit einem Jahresabo Print oder Digital
2
mit LinuxUser-Abo (DVD) und beiden Jahres-DVDs, inkl. DELUG-Mitgliedschaft (monatl.
DELUG-DVD)
3
mit ADMIN-Abo und beiden Jahres-DVDs
Schüler- und Studentenermäßigung: 20 Prozent gegen Vorlage eines Schülerausweises
oder einer aktuellen Immatrikulationsbescheinigung. Der aktuelle Nachweis ist bei
Verlän gerung neu zu erbringen. Andere Abo-Formen, Ermäßigungen im Ausland etc.
auf Anfrage.
Adressänderungen bitte umgehend mitteilen, da Nachsendeaufträge bei der Post nicht
für Zeitschriften gelten.
Pressemitteilungen
Marketing und Vertrieb
Mediaberatung D, A, CH
presse-info@linux-magazin.de
Petra Jaser, anzeigen@linuxnewmedia.de
Tel.: +49 (0)89 / 99 34 11 – 24
Fax: +49 (0)89 / 99 34 11 – 99
Mediaberatung USA Ann Jesse, ajesse@linuxnewmedia.com
und weitere Länder Tel.: +1 785 841 8834
Eric Henry, ehenry@linuxnewmedia.com
Tel.:+1 785 917 0990
Pressevertrieb
Druck
MZV Moderner Zeitschriften Vertrieb GmbH & Co. KG
Ohmstraße 1, 85716 Unterschleißheim
Tel.: 089/31906-0, Fax: 089/31906-113
Vogel Druck und Medienservice GmbH, 97204 Höchberg
Der Begriff Unix wird in dieser Schreibweise als generelle Bezeichnung für die Unixähnlichen
Betriebssysteme verschiedener Hersteller benutzt. Linux ist eingetragenes
Marken zeichen von Linus Torvalds und wird in unserem Markennamen mit seiner
Erlaubnis verwendet.
Eine Haftung für die Richtigkeit von Veröffentlichungen kann trotz sorgfältiger Prüfung
durch die Redaktion vom Verlag nicht übernommen werden. Mit der Einsendung von
Manus kripten gibt der Verfasser seine Zustimmung zum Abdruck. Für unverlangt
eingesandte Manuskripte kann keine Haftung übernommen werden.
Das Exklusiv- und Verfügungsrecht für angenommene Manuskripte liegt beim Verlag. Es
darf kein Teil des Inhalts ohne ausdrückliche schriftliche Genehmigung des Verlags in
irgendeiner Form vervielfältigt oder verbreitet werden.
Copyright © 1994 – 2012 Linux New Media AG
Impressum 09/2012
Service
www.linux-magazin.de
105
Krypto-Info
GnuPG-Schlüssel der Linux-Magazin-Redaktion:
pub 1024D/44F0F2B3 2000-05-08 Redaktion Linux-Magazin
Key fingerprint = C60B 1C94 316B 7F38 E8CC E1C1 8EA6 1F22 44F0 F2B3
Public-Key der DFN-PCA:
pub 2048R/7282B245 2007-12-12,
DFN-PGP-PCA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 39 D9 D7 7F 98 A8 F1 1B 26 6B D8 F2 EE 8F BB 5A
PGP-Zertifikat der DFN-User-CA:
pub 2048R/6362BE8B (2007-12-12),
DFN-PGP-User-CA, CERTIFICATION ONLY KEY (DFN-PGP-Policy: 2008-2009)
Key fingerprint = 30 96 47 77 58 48 22 C5 89 2A 85 19 9A D1 D4 06
Root-Zertifikat der CAcert:
Subject: O=Root CA, OU=http://www.cacert.org, CN=CA Cert Signing Authority/
Email=support@cacert.org
SHA1 Fingerprint=13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
MD5 Fingerprint=A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B
GPG-Schlüssel der CAcert:
pub 1024D/​65D0FD58 2003-07-11 [expires: 2033-07-03]
Key fingerprint = A31D 4F81 EF4E BD07 B456 FA04 D2BB 0D01 65D0 FD58
uid CA Cert Signing Authority (Root CA)
Autoren dieser Ausgabe
Fred Andresen Auf zum Flohmarkt 70
Bernhard Bablok Eingefädelt 82
Zack Brown Zacks Kernel-News 18
Carola Heine Früh erfolgreich 46
Eva-Katharina Kunst Kern-Technik 76
Martin Kuppinger Einlass nach Maßgabe 28
Charly Kühnast Land in Sicht 55
Martin Loschwitz Ubuntu bedienbar 56
Jürgen Quade Kern-Technik 76
Johannes Raida Ausblick in 3-D 88
Mark Schier Was gehört wohin? 64
Michael Schilli Einfach abheben 96
Ralf Spenneberg Mitbringsel 24
Uwe Vollbracht Tooltipps 44
Carsten Zerbst Ausblick in 3-D 88

Service
www.linux-magazin.de Vorschau 10/2012 1/2011 09/2012 12/2010
106
Vorschau
10/2012 Dachzeile
Nicht-linear präsentieren
© Micha Rosenwirth, 123RF
Sicherheit ist kein Kinderspiel
Umfassende Unkenntnis und falsche Prioritäten stellen die
Haupt ursache für die vielen Sicherheitslücken dar, durch die
jeden Tag Programme ins Gerede kommen. Dass Sicherheit zu
priorisieren wichtig ist, wird das Linux-Magazin nie müde zu
betonen. Der nächste Schwerpunkt belässt es jedoch nicht bei
Appellen, sondern zeigt anhand ganz praktischer Beispiele,
wie jedermann Lücken finden, dokumentieren und auch verhindern
kann. Beispielsweise ermittelt ein Artikel einen ausnutzbaren
Firmwarefehler in einem Router. Ein anderer deckt
Android-Schwächen auf, ein dritter demonstriert, wie der
Admin Pentests in IPv6-Netzwerken durchführt. Die Ära der
Unkenntnis möge sich dem Ende neigen.
MAGAZIN
Überschrift
Bei den gängigen seriellen Präsentation lässt sich der Überdruss
der Zuschauer förmlich mit Händen greifen. Die nächste Ausgabe
rückt eine kleine Gruppe Tools ins Licht, mit denen der
User seine Inhalte auf einer Fläche anordnet und durch einen
Pfad verbindet, der den Ablauf seiner Präsentation bestimmt.
Spice verschickt Bildschirme
Red Hat hat zwar das Simple Protocol for Independent Computing
Environments nicht erfunden, dafür aber dessen Erfinderfirma
Qumranet gekauft und dem Remote-Display-Protokoll
zur Freude der Thin-Client-Hersteller eine freie Lizenz verpasst.
Das nächste Magazin beobachtet die Software bei der Arbeit.
Das Neugeborene heißt Rust
Von der Öffentlichkeit weitgehend unbeachtet feilt die Mozilla
Foundation an einer eigenen Programmiersprache namens Rust.
Optisch C recht ähnlich nimmt sie munter Anleihen bei anderen
Sprachen und allerlei Paradigmen. Rust soll vor allem das Schreiben
von größeren nebenläufigen Anwendungen erleichtern.
Die Ausgabe 10/2012
erscheint am 6. September 2012
Ausgabe 09/2012
erscheint am 16.08.2012
© Frko, sxc.hu
Privacy und Security
Die Gefahren, die einem Rechner drohen,
gehen von vielen Quellen aus: Angriffe
über das Netzwerk, infizierte Dateien,
schwache Passwörter. Eine einzige Lücke
im Sicherheitssystem ermöglicht einem
Angreifer oft bereits weitreichenden Zugriff
auf wertvolle Daten. In der kommenden
Ausgabe helfen wir Ihnen, Ihr System
so abzusichern, dass es Angriffen von außen und innen standhält
und selbst bei einem erfolgreichen Angriff dem Eindringling keine
wichtigen Dateien und Informationen in die Hände fallen.
Dateisysteme wandeln
Ein Dateisystem mit vielen Dateien zu konvertieren, wächst sich zu
einer schwierigen Aufgaben aus. Mit dem Tool Fstransform wandeln
Sie die gewünschte Partition um, ohne die daraufliegenden
Daten davon wegzubewegen. Wir zeigen, was es beim Einsatz des
Werkzeugs zu beachten gilt.
Barcodes im Einsatz
Die kleinen schwarz-weißen Balken sind heute nicht mehr aus dem
Leben wegzudenken: Sie prangen auf Postsendungen, Buchrücken
oder elektronischen Geräten. Was im weltweiten Logistiknetz für
Ordnung sorgt, hilft in vielen Fällen ebenfalls im privaten Bereich,
Gegenstände zu ordnen und zu erfassen. Unser Workshop zeigt, wie
Sie Barcodes für Ihre Zwecke optimal nutzen.
Lenovo Thinkpad W530
Beim letzten Mal machte uns der Hersteller einen Strich
durch die Rechnung – jetzt ist das Notebook-Spitzenmodell
von Lenovo endlich auf dem
Weg in unser Hardware-Labor. Der Thinkpad
W530 beeindruckt: Ein Intel Core i7-
3720QM mit 2,6 GHz treibt den 15-Zöller
an, 4 GByte DDR3-SDRAM sollten ein
stressfreies Arbeiten erlauben. Wie sich
die Hardware schlägt, zeigt ein Test
in der nächsten Ausgabe.

Hetzner Online unterstützt mit der
Verwendung von 100% regenerativem
Strom aktiv den Umweltschutz.
Entscheiden Sie sich gemeinsam
mit uns für eine saubere Zukunft.